Главной жертвой атак остается правительственный сектор — на него пришлось почти 18% всех инцидентов
Специалисты департамента threat intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружили 808 уникальных образцов вредоносного ПО, которые связаны с деятельностью 11 отслеживаемых хакерских группировок. Четыре наиболее активные группы — Rare Werewolf, PhaseShifters, PhantomCore и Hive0117 — суммарно обеспечили около 72% нового ВПО в первом квартале 2026 года. Ключевой целью атак остается правительственный сектор: на него пришлось 17,86% всех зафиксированных инцидентов.
Согласно отчету PT ESC TI, в первом квартале 2026 года число уникальных образцов вредоносного ПО в атаках на российские компании выросло на 38% по сравнению с аналогичным периодом 2025 года. Динамика по месяцам показывает резкий рост числа новых образцов к концу первого квартала: 117 в январе, 283 в феврале и 408 в марте. Чаще всего злоумышленники атаковали правительственные учреждения (17,86%), финансовый сектор (9,82%), организации гражданского общества (9,82%) и производство (8,04%).
Почти три четверти всех новых образцов ВПО создали четыре группировки: Rare Werewolf, PhaseShifters, PhantomCore и Hive0117.
Rare Werewolf скрытно разворачивала в системах жертв легитимный инструмент удаленного доступа AnyDesk, а полученный AnyDesk ID жертвы передавала операторам через комментарии на странице GitHub Gist. Далее атакующие использовали этот ID для подключения. Отличительной чертой атаки было то, что вспомогательный скрипт автоматически нажимал кнопки в окнах оповещений системы безопасности Windows. В этих окнах система запрашивает у пользователя разрешение на запуск или установку потенциально опасного ПО. Из-за автоматических нажатий жертва просто не успевала отклонить запросы и помешать работе вредоносного ПО.
PhaseShifters проводили фишинговую кампанию, нацеленную на организации авиационной промышленности и оборонно-промышленного комплекса. В результате атаки на устройство жертвы попадал троян Remcos. Он позволяет злоумышленникам полностью управлять зараженным компьютером, следить за экраном, перехватывать нажатия клавиш и получать данные.
PhantomCore рассылали фишинговые письма с вложениями — ярлыками Windows (LNK), которые при открытии запускали вредоносный PowerShell-скрипт.
Hive0117 атаковала бухгалтерские подразделения компаний с помощью трояна удаленного доступа DarkWatchman, который перехватывал нажатия клавиш и отправлял их операторам. Дополнительно зловред удалял точки восстановления Windows, чтобы лишить жертву возможности откатить систему к состоянию до заражения и удалить вредоносную программу штатными средствами. Для связи с C2-сервером DarkWatchman использовал алгоритм генерации доменов — на случай, если основные адреса будут заблокированы.

Четыре наиболее активные группировки — Rare Werewolf, PhaseShifters, PhantomCore и Hive0117 — обеспечили почти три четверти всего вредоносного ПО
«Прочие группировки также проявили высокую активность, используя разнообразные техники. Одни внедряли вредоносные программы, сгенерированные с помощью ИИ: в коде встречались шаблонные названия переменных и избыточные комментарии на английском. Другие прятали свои скрипты в реестре Windows, чтобы их сложнее было обнаружить. Третьи обходили защиту Microsoft Office через обнаруженную в январе 2026 года уязвимость CVE-2026-21509. Некоторые APT-группировки рассылали документы с макросами под видом кадровых анкет. Многие для хранения вредоносных программ и управления атаками использовали легитимные облачные сервисы, такие как GitHub, Firebase и Bitbucket», — отмечает Денис Казаков, специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies.