Согласно исследованию BI.ZONE Threat Intelligence, около 45% активных кибергруппировок, действующих на территории России, ориентированы на разведывательную деятельность. Только за первые шесть месяцев 2025 года 36% всех выявленных атак имели явно выраженную шпионскую направленность. Наиболее часто цели выбирались среди государственных структур, инжиниринговых компаний и IT-компаний.
Наблюдается устойчивый рост атак с разведывательной целью: 2023 — 15%, 2024 — 21%, первая половина 2025 — 36%.
Рост почти в 2,5 раза за два года указывает на системное смещение приоритетов киберпреступных групп от прямой финансовой мотивации к разведке и долговременному проникновению в критические инфраструктуры.
Дополнительно усилилось влияние идеологически мотивированных атак: к середине 2025 года их доля достигла 20%, тогда как в аналогичном периоде прошлого года — лишь 14%. Чаще всего такие атаки направлены на подрыв репутации, информационные вбросы или деструктивное вмешательство.
Лидером по количеству шпионских инцидентов остаются органы госуправления — на них приходится почти треть от общего числа целевых атак (29% против 17% годом ранее). За ними следуют:
- предприятия инженерного профиля — 13%
- организации из IT-сектора — 8%
По словам Олега Скулкина, руководителя направления Threat Intelligence в BI.ZONE, действующие кибершпионы:
- обладают высоким уровнем технической подготовки,
- задействуют кастомизированные версии известных вредоносных программ,
- разрабатывают собственные средства удалённого доступа (RAT),
- активно используют методы обхода EDR и SIEM-систем — в том числе fileless-подходы, живущие в памяти, и LOLBin-техники.
Цель — максимально долго оставаться незаметными в инфраструктуре, обеспечивая себе стойкий и бесшумный доступ к данным и системам.
Несмотря на рост доли разведывательных атак, основной стимул для большинства групп по-прежнему — денежная выгода. Шифровальщики и атаки с целью вымогательства остаются наиболее универсальными и массовыми — они применимы практически к любой отрасли.