Злоумышленники проникают вглубь сетей, маскируясь на периферийной инфраструктуре

Активность атак смещается в сторону инфраструктуры, находящейся вне зоны видимости конечных точек. Прокси-сети поддерживают широкий спектр операций, периферийные устройства служат точками первоначального доступа, а генеративный ИИ ускоряет процесс сборки и восстановления инструментария злоумышленниками. В отчёте Lumen «Ландшафт угроз 2026» описана эта модель в деятельности киберпреступников и государственных структур.

«Для обнаружения противника как можно раньше и как можно ближе к точке его происхождения необходима аналитика угроз», — заявил Крис Киссел, вице-президент IDC по безопасности и доверию.

Раннее давление формировалось на периферии

Эта тенденция формировалась в течение нескольких лет. В 2022 году более 80% нарушений, направленных на веб-приложения и сервисы, доступные из интернета, были связаны с подбором паролей или использованием украденных учётных данных. Затем Microsoft сообщила о глобальном пике в 11 000 атак такого типа в секунду в апреле 2023 года.

К 2025 году средства защиты конечных точек получили широкое распространение: 91% организаций использовали EDR, и эти инструменты в среднем охватывали 72% соответствующих устройств. Это сделало маршрутизаторы, VPN-шлюзы, межсетевые экраны и другие открытые системы привлекательными точками входа.

«Скрываясь в устройствах, находящихся вне досягаемости стандартных средств защиты, и возобновляя активность спустя дни, недели или даже месяцы после первоначального доступа, злоумышленники могут лучше избегать обнаружения и мешать защитникам соединять разрозненные факты», — отметили исследователи.

Некоторые из наиболее явных признаков проявились в инфраструктуре, которая редко подвергается такому же тщательному анализу, как ноутбуки или серверы. Активность J-magic началась в середине 2023 года и продолжалась как минимум до середины 2024 года. Данные телеметрии с марта по сентябрь 2024 года выявили 36 уникальных IP-адресов, соответствующих её характерным признакам, что составляет менее 0,01% от проанализированного NetFlow-трафика.

50% атакованных устройств, по-видимому, функционировали как VPN-шлюзы. Кампания Secret Blizzard развивалась по иному пути. Начавшись в декабре 2022 года и продолжаясь до ноября 2024 года, она проникла в 33 отдельных командных сервера Storm-0156. Впоследствии следователи задокументировали 37 узлов Secret Blizzard и Storm-0156, связанных с этой операцией.

Ботнеты превратились в рабочую инфраструктуру

Операции с использованием прокси и ботнетов также стали играть более значительную роль. Семейство угроз Aisuru зафиксировало 2 948 616 IP-адресов, что является самым высоким показателем в 2025 году. За ним следует Vo1d с 2 519 125, а AWM достигло 2 356 202.

По среднему ежедневному количеству ботов первое место заняли Aisuru Proxies с показателем 129 487, за ними следуют Mysterium с 45 097 и Aisuru с 31 549. NSOCKS присутствовал в обоих рейтингах.

В конце 2022 года появился ботнет Rhadamanthys, который к октябрю 2025 года поразил более 12 000 жертв по всему миру. В среднем он ежедневно использовал 300 активных серверов, достигнув пика в 535 серверов за тот месяц.

Свыше 60% его командных серверов размещались в США, Германии, Великобритании и Нидерландах. Более 60% этих серверов на момент первоначального отчёта не обнаруживались VirusTotal. По данным Black Lotus Labs, отраслевые специалисты отслеживали лишь около 20% из примерно 200 ежедневных серверов Rhadamanthys, за которыми следила их лаборатория.

SystemBC проявил себя в сентябре 2025 года с более чем 80 командными серверами и в среднем 1500 жертвами в день. У каждой жертвы в среднем обнаруживалось 20 неустранённых уязвимостей (CVE), включая как минимум одну критическую. На одном наблюдаемом сервере было найдено более 160 неустранённых уязвимостей. Исследователи также зафиксировали, что один прокси-IP сгенерировал свыше 16 ГБ прокси-трафика за 24 часа. Почти 100% заражённых устройств в итоге попадали в блокировочные списки.

DanaBot, впервые замеченный в 2018 году, оставался крайне активным до мая 2025 года. «После операции Endgame II DanaBot вновь появился в ноябре 2025 года с «Версией 669» — используя сложные многоэтапные атаки для нацеливания на финансовые учреждения, криптовалютные кошельки и отдельных пользователей», — отметили исследователи.

В ходе своей активности в 2025 году он поддерживал почти 150 активных командных серверов в день и 1000 ежедневных жертв в более чем 40 странах. Только у 25% его инфраструктуры командных серверов показатель обнаружения в VirusTotal был больше нуля. Половина жертв обращалась к серверу DanaBot лишь один день, а 75% заражений длились менее трёх суток.

Конец 2025 года принёс ускоренную смену

Наиболее резкое ускорение произошло ближе к концу года. Количество ботов Aisuru утроилось за одну неделю в сентябре 2025 года. Позже исследователи выяснили, что его 1,8 миллиона ботов были созданы путём эксплуатации прокси-сервисов.

Kimwolf возник на фоне этих изменений в середине октября 2025 года и начал атаки мощностью, приближающейся к 30 Тбит/с.

«После оказания давления на Aisuru, операторы Kimwolf быстро восстановили свою управляющую инфраструктуру. Появились новые домены командных серверов, вредоносное ПО было модифицировано, а схемы трафика быстро изменились. В течение нескольких недель ботнет вырос до сотен тысяч ботов, сохраняя огромный потенциал для DDoS-атак и активно уклоняясь от блокировок», — заявили они.

График Raptor Train демонстрирует более длительную историю, стоящую за всплеском активности в конце года. На момент нейтрализации создание этой бот-сети заняло более четырёх лет. Пик пришёлся на июнь 2023 года, когда было заражено более 60 000 активных устройств, а за всё время существования сети в неё было вовлечено свыше 200 000 устройств.

Количество её командных серверов увеличилось примерно с 1-5 узлов в период с 2020 по 2022 год до 11 к середине 2023 года, 30 — с февраля по март 2024 года и более 60 — с июня по август 2024 года. Боты первого уровня существовали в среднем 17 дней. Узлы второго и третьего уровня — в среднем 77 дней.

«Raptor Train наглядно показывает, как выглядят современные кампании, когда инфраструктурный уровень становится самой операцией, и почему защитникам необходима сетевая аналитика для упреждающего обнаружения и остановки атак», — заключили исследователи.