За первые три месяца 2026 года доля шпионских кибератак выросла до 42%; для сравнения, с января по март 2025 года на шпионаж пришлось 38% зафиксированных целевых атак, а за весь 2025 год этот показатель составил 37%, свидетельствуют результаты исследования Threat Zone 2026, сообщает BI.ZONE.
Эксперты фиксируют повышенную активность группировок, ориентированных на шпионаж. Кластер Paper Werewolf атакует российский промышленный, финансовый и транспортный секторы, а также разрабатывает новое вредоносное ПО.
Для таких злоумышленников характерно длительное скрытое присутствие в инфраструктуре. С их деятельностью специалисты связывают более 60% всех выявляемых случаев скрытой компрометации. Примечательно, что кибершпионы часто экспериментируют с инструментами и разрабатывают своё вредоносное ПО, чтобы увеличить шансы на успешную атаку.
Так, Paper Werewolf активно экспериментирует с цепочками атак, используя фишинговые PDF-документы, установщики и различные загрузчики для доставки вредоносной нагрузки. Кластер обладает высоким уровнем подготовки и технической зрелости: атакующие продолжают разработку собственных имплантов для фреймворка постэксплуатации Mythic. Кроме того, они создали собственный стилер PaperGrabber, который позволяет собирать данные из Telegram, файлы с локальных, сетевых и съемных дисков, а также красть учетные данные из браузеров, говорится в сообщении.
Одна из фишинговых кампаний была нацелена на промышленные и финансовые организации. Открывая файл, вложенный в письмо, жертвы фактически запускали троян удаленного доступа EchoGather. ВПО позволяло атакующим собирать системную информацию о скомпрометированном устройстве, загружать и отправлять файлы на C2-сервер, а также выполнять команды. Весь процесс атакующие замаскировали под установку Adobe Acrobat Reader.
Летом 2025 года группировка Paper Werewolf использовала для атак уязвимости в WinRAR. К фишинговым письмам прилагались RAR‑архивы якобы с важными документами, а на самом деле — с вредоносным ПО. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяли при распаковке архива устанавливать ВПО на скомпрометированное устройство незаметно для жертвы. Тогда целями атак стали организации из России и Узбекистана.
