В уходящем году ландшафт киберугроз стал ещё более переполненным, сложным и взаимосвязанным. По всему миру государственные группы, частные наёмные хакеры и высококлассные киберпреступники действовали бок о бок, зачастую даже в пределах одних и тех же сетей. Исследовательское подразделение Check Point Research (CPR) представило отчёт «Не рассказанные истории 2025», в котором собраны ключевые инциденты, оставшиеся за кадром публичных новостей, но критически важные для понимания современных трендов в области информационной безопасности. Анализ показывает, что использование уязвимостей нулевого дня, атак через облачные сервисы и фишинга высшего качества перестало быть редкостью, превратившись в стандартный, надёжный инструмент для достижения целей.
Описание
Америка: фокус на инновациях и высоких ставках
В течение года американский регион оставался основной целью как для государственных, так и для финансово мотивированных групп, причём первые зачастую демонстрировали наиболее изощрённые методы именно против целей в этом регионе. В июле аналитики CPR обнаружили ограниченную серию атак, в которых использовалась цепочка эксплойтов ToolShell, нацеленная на локальные серверы Microsoft SharePoint и позволяющая выполнять код без аутентификации. Критически важно, что эта эксплуатация происходила до выхода официального патча, то есть как уязвимость нулевого дня. Целями были правительственные организации в Северной Америке. Исследователи связывают эту активность с китайскими APT-группами (Advanced Persistent Threat - целевая постоянная угроза), основываясь на инфраструктуре, включающей ретрансляционные узлы на маршрутизаторах, что характерно для так называемых сетей Operation Relay Box (ORB).
Параллельно с июля отслеживалась целевая фишинговая кампания против исследователей из американских аналитических центров, изучающих политику Северной Кореи. Злоумышленники, предположительно связанные с группой Kimsuky, рассылали письма от лица коллег из европейских университетов. Вложения или ссылки вели на поддельные страницы, которые использовали Adversary-in-the-Middle (AiTM, «противник в середине») наборы для перехвата учётных данных, успешно обходя даже многофакторную аутентификацию (MFA).
Также в Северной Америке активизировалась русскоязычная группа RedCurl, известная корпоративным шпионажем, а теперь и программами-вымогателями. В новой цепочке заражения использовались ярлыки LNK, которые, эксплуатируя параметр рабочей директории, загружали вредоносный код с удалённого ресурса через WebDAV. Такой подход, сочетающий использование легитимных компонентов Windows и удалённую загрузку, демонстрировал исключительно низкий уровень детектирования.
Европа: спектр угроз от шпионажа до влияния
Европейский регион столкнулся с широким спектром операций: от целенаправленных сбоев до кампаний по дезинформации. Наиболее агрессивная активность исходила от групп, связанных с Россией, особенно в Восточной Европе и Украине. Однако угрозы исходили и от китайских, иранских, а также финансово мотивированных акторов.
Китайская группа Camaro Dragon (также известная как Mustang Panda) в 2025 году провела серию атак на европейские правительственные агентства, эволюционировав свои методы с момента кампании SmugX в 2023. Фишинговые письма, якобы отправленные с государственных адресов, содержали ссылки на страницы в облачном хранилище Microsoft Azure, которые в свою очередь загружали архив с вредоносным LNK-файлом, доставляющим бэкдор PlugX.
Российская группа COLDRIVER, несмотря на неоднократные публичные разоблачения, не снизила активность. В четвёртом квартале она развернула кампании в Юго-Восточной Европе, используя поддельные сайты, имитирующие крупные медиакомпании. Группа также усовершенствовала свою цепочку доставки вредоносного ПО MAYBEROBOT, добавив дополнительные ступени и механизмы проверки подлинности для связи с командным сервером (C2).
Особое внимание привлекла деятельность русскоязычной группы Lying Pigeon, направленная на парламентские выборы в Молдове в сентябре 2025 года. Используя те же методы, что и в кампании Operation MiddleFloor в 2024-м, группа распространяла поддельные документы для подрыва доверия к проевропейскому руководству. Кроме того, был запущен масштабный сайт-клон, проводивший пропагандистский конкурс плакатов против правящей партии.
Азиатско-Тихоокеанский регион и Центральная Азия: устойчивый шпионаж
В Азии доминировала устойчивая шпионская активность китайских групп, часто использующих обновлённые версии проверенных методик, таких как модульные бэкдоры PlugX и ShadowPad. Однако некоторые операции выделялись более высокой степенью профессионализма.
Например, кампания GoldenSMTP, являющаяся эволюцией группы IndigoZebra, была нацелена на правительственные структуры Центральной Азии. После начального заражения через фишинговые архивы злоумышленники развёртывали имплант, использующий для командования и управления (C2) почтовые протоколы SMTP/IMAP через скомпрометированные учётные записи внутри целевой организации, что значительно снижало заметность.
Группа Flax Typhoon, обозначенная правительством США как серьёзная угроза для технологического сектора, была замечена при атаке на тайваньского облачного провайдера. Атакующие злоупотребили легитимными продуктами безопасности для выполнения цепочки подгрузки DLL (DLL side-loading), которая в итоге загружала PlugX. После закрепления в сети они перемещались laterally (горизонтально) с использованием RDP (Remote Desktop Protocol) и развернули VPN-клиент SoftEther для скрытого доступа.
Ближний Восток и Африка: смешанный ландшафт и деструктивные операции
В регионе MENA (Ближний Восток и Северная Африка) угрозы были особенно разнообразны: от частных наёмных хакеров (Private Sector Offensive Actors, PSOA) до деструктивных групп, развёртывающих виперы (wiper - программа для необратимого удаления данных). В июне, во время кратковременного конфликта между Израилем и Ираном, наблюдался резкий всплеск попыток скомпрометировать интернет-камеры в Израиле через известные уязвимости. Эта тактика, по-видимому, использовалась иранскими группами для оценки ущерба от ударов (BDA - Bomb Damage Assessment) в режиме, близком к реальному времени.
Иранские группы также продолжали деструктивные кампании против Израиля. Например, группа Handala Hack рассылала фишинговые письма с випером, который не только уничтожал файлы, но и менял обои на рабочем столе на политические сообщения. Группа WIRTE, связанная с ХАМАС, после волны деструктивных атак в конце 2024 года продолжила деятельность в 2025-м, сочетая виперы SameCoin с целевым шпионажем против арабоязычных политических субъектов в Иордании и Египте.
Выводы и рекомендации: важность контекста и сотрудничества
Главный вывод 2025 года заключается в том, что новизна зачастую заключается не в абсолютно новых инструментах, а в том, как комбинируются и развёртываются уже знакомые техники. Злоумышленники повторно используют инфраструктуру, фреймворки и методы социальной инженерии, адаптируя их под новые цели. Это подчёркивает необходимость не только базовых мер гигиены безопасности, таких как своевременное обновление ПО и обучение сотрудников, но и глубокой контекстной аналитики.
Для противодействия современным угрозам критически важна сквозная видимость (visibility) на всех уровнях: идентификации, облачных средах и конечных точках. Быстрое закрытие открытых точек входа, включая незапатченные уязвимости и неправильно сконфигурированные сервисы, остаётся одной из ключевых задач. Наконец, отчёт наглядно демонстрирует, что ни одна организация не может работать в вакууме - отраслевое сотрудничество и обмен информацией между исследователями и вендорами являются необходимым условием для построения эффективной обороны в условиях всё более сложной и взаимосвязанной киберсреды.
Индикаторы компрометации
Domains
- 4sync.com
- careerst-mobile.com
- signup-forms.theonlycompany.com
Malicious LNK
- \\production.dav.indeedex.workers.dev\DavWWWRoot
SHA256
- 1f3bd755de24e00af2dba61f938637d1cc0fbfd6166dba014e665033ad4445c0
- 549df969dc5b340b4fc850584a01c767ca8a1bd712f16210f164f85e26c3e58b
- 6eb7dbf27a25639c7f11c05fd88ea2a301e0ca93d3c3bdee1eb5917fc60a56ff
