Специалисты «Лаборатории Касперского» провели технический анализ активности 14 группировок, наиболее интенсивно атакующих организации в России, Беларуси и некоторых других странах. В их числе — хактивисты, которые появились в российском ландшафте угроз после 2022 года и публично называли себя «проукраинскими».

Исследователи объединили группы атакующих в три кластера — исходя из мотивов и инструментария злоумышленников.

Хактивисты: действуют по идеологическим соображениям и в основном стремятся разрушить инфраструктуру компаний в России. К ним относятся TWELVE, BlackJack, Head Mare, C.A.S., Crypt Ghouls.

APT-группы: проводят сложные целевые кампании с целью кибершпионажа — Awaken Likho, Angry Likho, GOFFEE, Cloud Atlas, Librarian Likho (ранее — Librarian Ghouls), Mythic Likho, XDSpy.

В третий, гибридный, кластер вошли злоумышленники, которые имеют уникальный почерк, — BO TEAM и Cyberpartisans.

Согласно отчету, после 2022 года число хакерских групп, атакующих Россию, резко выросло — в основном за счет хактивистов. К настоящему времени злоумышленники стали более опытными и организованными. Они общаются, обмениваются знаниями и инструментами для достижения общей цели и стремятся к публичности.

Угроза продолжает нарастать, поскольку об атаках на российские организации регулярно заявляют все новые группировки. Только в 2025 году, по данным «Лаборатории Касперского», их появилось как минимум семь.

По словам экспертов, большинство изученных групп взаимодействуют друг с другом. Они могут использовать одинаковые инструменты и даже делить роли в операциях против российских компаний: кто-то отвечает за доступ, другие — за закрепление и нанесение ущерба.

Хотя под ударом находятся самые разные отрасли, в топ-3 целей атакующих входят госсектор, промышленность и телеком. Большинство изученных группировок атакуют именно их. При этом злоумышленников одинаково интересует и крупный бизнес, и небольшие предприятия.

Также отмечается, что в последние годы группы стали более технически подкованными. Инструменты, которые ранее использовались крайне редко, были характерны только для подразделений Red Team либо существовали лишь «на бумаге», все чаще применяются в реальных атаках. Исследователи считают, что это может свидетельствовать о том, что злоумышленники изучают не только открытые источники, но и профессиональные исследования, экспериментируют и адаптируют их под нужные цели.