Весь год команда Solar 4RAYS помогала российским организациям справляться с последствиями масштабных киберинцидентов, предотвращать новые, эффективно бороться со сложным вредоносным ПО. За это время у нас накопилось немало мыслей о том, как ландшафт киберугроз в России будет эволюционировать в 2026 году, и в этой статье мы решили ими поделиться, поскольку считаем, что ранняя инфомированность об угрозах, которые вот-вот станут актуальными, — это первый шаг к построению надежной защиты.

Прогнозы кратко

Ландшафт угроз и тактика атакующих

  • APT-группировки. Их активность будет напрямую зависеть от геополитической обстановки. Снижение активности после публичного разоблачения некоторых группировок — временная мера для перевооружения.
  • Цели атак. Усилится давление на критические отрасли: промышленность, ТЭК, логистику, госсектор и другие социально и экономически значимые отрасли.
  • «Кинетический» хактивизм. Хактивизм превратился в инструмент профессионалов, способных наносить реальный физический ущерб инфраструктуре.
  • Усложнение атрибуции. Атакующие активно маскируются под других, используя чужие инструменты и инфраструктуру, что затрудняет определение истинного виновника.
  • Атаки через подрядчиков (Trusted Relationship Attacks). Это один из основных путей проникновения в крупные компании, безопасность которых усилилась.

Уязвимости и целевые платформы

  • Российское ПО. Будет расти эксплуатация уязвимостей в отечественном ПО (почтовые серверы, CMS, мессенджеры) из-за недостаточного внимания к безопасности на этапе разработки.
  • Windows 10. Станет главной мишенью из-за прекращения поддержки; уязвимости от Windows 11 будут работать и на 10-й версии, но патчи — выходить реже.
  • Панель предпросмотра MS Office. Ожидается волна фишинговых атак с использованием RCE-уязвимостей в этом компоненте.
  • Небезопасная десериализация. Будет основным вектором RCE-атак в средах PHP, Java, Python, ASP.NET.
  • Атаки на репозитории Open Source. Популярные репозитории (Nuget, Maven и др.) станут целью для внедрения бэкдоров в доверенный код.

Вредоносное ПО и техники

  • Банковские трояны с NFC. Будет расти эффективность вредоносов, перехватывающих бесконтактные платежи (например, NFCGate).
  • Zero-click атаки на Android. Ожидается увеличение числа эксплойтов для Android, не требующих взаимодействия с пользователем.
  • Фишинг ClickFix. Будут нарастать атаки, где жертву через социнженерию вынуждают вручную запускать вредоносные команды, например, в PowerShell.
  • Атаки на Linux. Рост числа атак, включая использование руткитов (Puma, Kitsune и др.), из-за импортозамещения и слабой защиты.
  • Атаки на macOS. В фокусе злоумышленников будут ключевые компоненты защиты macOS (Keychain, TCC, SIP), так как устройства Apple активно используются в корпоративной среде.
  • Маскировка вредоносного трафика. Ожидается усложнение маскировки вредоносного трафика, он будет все больше похож на легитимный трафик атакованной организации. Злоумышленники стремятся использовать те же протоколы, порты, время работы и т.п.

ИИ в атаках

  • Вайб-кодинг в вредоносах. Низкоквалифицированные злоумышленники будут массово использовать ИИ (вайб-кодинг) для генерации простого вредоносного ПО.
  • Профессиональные группировки (APT). Будут применять LLM для оркестрации сложных атак (пример, фреймворк Hexstrike-AI).

Киберпреступность

  • Снижение «порога входа». Растет число группировок, покупающих готовые доступы и инструменты.
  • Мошеннические атаки через мессенджеры. Продолжатся атаки, использующие социальную инженерию через популярные мессенджеры и госсервисы.

Остановимся подробнее на каждом прогнозе.

Сложные кибератаки (Advanced Persistent Threat, APT)

Геополитика определит APT-ландшафт

Еще несколько лет назад APT-группировки особо не «шумели»: то есть несли «регулярное боевое дежурство», проводя постоянные скрытые операции с уровнем активности, позволявшим им долгое время оставаться незамеченными. Относительно спокойная геополитическая обстановка не оказывала видимого влияния на активность таких группировок.

Однако с началом СВО и последовавшим за ней событиями атаки APT-группировок стали более частым явлением. Теперь они напрямую определяются геополитикой: чем напряженней международная обстановка, тем выше активность атакующих и больше кластеров вредоносной активности. Пока что их число увеличивается.

В 2025 году мы заметили любопытный тренд: расширенное освещение деятельности конкретных группировок (например, таких, как Shedding Zmiy и других проукраинских кластеров, восточноазиатской Obstinate Mogwai) приводит к снижению их активности. Логика простая: чем выше осведомленность ИБ-индустрии о конкретном атакующем, тем ниже эффективность атакующего. В 2025 году несколько группировок пропали с ИБ-радаров — скорее всего, чтобы «пересобрать» арсенал, тактики и техники. В том, что они вернутся, сомнений у нас нет, но неясно, в каком масштабе. Если градус геополитической борьбы будет расти, ожидать снижения активности в ландшафте сложных шпионских кибератак не стоит.

Критические отрасли — в прицеле атакующих

Группы профессиональных атакующих все чаще целятся в отрасли, напрямую влияющие на общее состояние экономики России: промышленность, ТЭК, логистика, госсектор. В 2026 году давление не ослабнет, организациям в этих сферах стоит выстроить адекватные модели угроз.

«Кинетический» хактивизм

Хактивизм — это больше не DDoS-атаки и не дефейсы плохо защищенных сайтов. Теперь это сложные атаки на реальные объекты инфраструктуры, цель которых — вызвать общественный резонанс, нарушить деятельность жизненно важных систем — то есть с помощью «виртуальных» действий создать «кинетический» эффект. Реализация подобных атак требует серьезных навыков и ресурсов, поэтому хактивизм — больше не инструмент любителей. В такие атаки вовлечены высокопрофессиональные группировки, и крупным социально и экономически значимым организациям, которые являются их потенциальными целями, следует это учитывать.

Усложнение атрибуции

Точная атрибуция атакующих помогает организациям надежнее защищать себя от атак известных группировок, поэтому атакующие предпринимают попытки, чтобы максимально «растрезвонить» о своей деятельности: используют общедоступные вредоносные инструменты или инструменты, позаимствованные у других группировок, атакуют через взломанную инфраструктуру других группировок и так далее. Почти половина инцидентов, которые мы расследовали в 2025 году, не содержат в себе артефактов, которые позволили бы отнести эти атаки к известным группам. Предполагаем, что в 2026 году злоумышленники продолжат прилагать усилия, чтобы скрыть свою активность и затруднить распознавание ее следов.

Уязвимости

Рост эксплуатации уязвимостей в отечественном ПО

Стремление разработчиков отечественных аналогов продуктов, которые покинули рынок, побыстрее предложить клиентам альтернативу, вынуждает их прежде думать о ключевой функциональности ПО, а о безопасности заботиться во вторую очередь.

При этом у большинства отечественных разработчиков нет программ проактивного поиска уязвимостей в продуктах: эту функцию «выполняют» группировки атакующих, которые несомненно исследуют безопасность российских B2B-продуктов. Мы уже видим это в инцидентах: под прицелом почтовые серверы, CMS, системы для видео-конференц-связи, мессенджеры.   

Windows 10 станет объектом повышенного внимания атакующих

На ближайшие 1–2 года (с учетом всех возможных платных расширенных поддержек) Windows 10 станет самой привлекательной для атакующих и самой проблемной для сотрудников ИБ системой. Отличий у Windows 11 от Windows 10 в техническом плане не так много. Те уязвимости, что будут обнаруживаться в Windows 11, с высокой долей вероятности будут работать и на Windows 10, а вот патчи под «десятку», скорее всего, будут выходить с более низким приоритетом, чем под Windows 11, или вовсе не будут выпускаться. Миграция на Windows 11 — в интересах Microsoft, но, по нашим наблюдениям, многие организации оттягивают обновление на новые ОС до последнего, а значит, и поверхность атак, связанных с Windows 10, еще долго будет достаточно обширной.

Рост атак удаленного исполнения кода в Microsoft Office через панель предпросмотра

Анализ сообщений об обновлениях безопасности Microsoft (патч-вторники) последних месяцев показывает, что уже более полугода каждый месяц Microsoft исправляет несколько однотипных RCE-уязвимостей панели предпросмотра в MS Outlook. С нашей точки зрения, такое количество и интенсивность исправлений может означать, что компании пока не удается устранить некоторые фундаментальные проблемы, связанные с панелью предпросмотра. У нас нет оснований считать, что поток исправлений для этого компонента закончится. Скорее всего, атакующие обратят внимание на это обстоятельство и стоит ожидать фишинга с эксплойтами под недочеты этого компонента.

Эксплуатация десериализации

Небезопасная десериализация данных в PHP, Java, Python, ASP.NET становится превалирующим вектором атаки для удаленного выполнения кода. На примере уязвимости в параметре VIEWSTATE среды ASP.NET (Obstinate Mogwai) мы наблюдали атаки с 2023 года и до сих пор их встречаем, например, в атаке ToolShell. Обмен данными между приложениями усложняется вместе с их архитектурой, что расширяет поверхность атаки в местах, где преобразования данных выполняются небезопасно. При этом уязвимостью небезопасная десериализация данных считается не всегда. Например, Microsoft уже много лет ничего не делает с десериализацией ASP.NET, и злоумышленники продолжат ее эксплуатировать. Мы ожидаем развития таких механизмов и, как следствие, увеличения числа уязвимостей и атак с их использованием.

Вредоносное ПО и техники

Эволюция банковских троянов с использованием NFC

NFCGate и прочие похожие вредоносы продолжат эффективно выводить деньги со счетов пользователей при перехвате NFC-коммуникаций и проксировании (relay) трафика. Этому будет способствовать растущая распространенность бесконтактных методов оплаты.

Zero-click-атаки на Android

Zero-click-эксплойты позволяют атаковать мобильное устройство без всякого взаимодействия с пользователями, и оттого они крайне опасны, хотя и редки. Прежде такой тип эксплойтов использовали только высокопрофессиональные группировки с доступом к огромным ресурсам. Кроме того, в публичной сфере в контексте zero-click чаще фигурируют продукты компании Apple, но мы ожидаем, что в наступающем году больше подобных угроз возникнет и на Android. Совсем недавно, в октябре, Google устранила одну такую уязвимость в Android.

До этого, в январе 2025 года, стало известно о таком эксплойте под устройства Samsung, и это показательный пример: Android — открытая операционная система, которая претерпевает изменения (иногда значительные) от одного производителя устройств к другому. Вносимые изменения не обязательно могут быть безопасными, и поэтому мы считаем, что появление бОльшего числа zero-click-уязвимостей (в частности, под устройства конкретного производителя) — очень вероятный сценарий для 2026 года.

Рост ClickFix

Фишинговые атаки типа ClickFix основаны на социальной инженерии и принуждают жертву к полностью самостоятельному запуску ВПО даже без необходимости первичной доставки чего-либо исполняемого на систему. Например, жертве дается инструкция, что и откуда скопировать, как вставить в PowerShell, и нажать Enter.

Скорее всего, число подобных атак будет только расти, поскольку они основаны на методах социальной инженерии, а человек остается наиболее слабым звеном в защите от атакующих. Из-за специфики атаки ClickFix ее не так просто обнаружить, и злоумышленники будут этим пользоваться.

Рост атак через подрядчиков

Рост атак через подрядчиков (Trusted Relationship Attacks). Много компаний начали заботиться о своей безопасности из-за очень большого количества взломов и публичных утечек, а до подрядчиков как будто пока эти изменения не дошли до сих пор. Поэтому проникать в крупные компании сейчас точно легче через взлом подрядчиков. Заметная доля наших расследований демонстрирует развитие этого тренда.

Рост атак на Linux, в том числе с применением руткитов

Это связано и с импортозамещением (которое привело к появлению версий Linux с дырами в безопасности, и с тем, что до сих пор на этих системах часто не стоят никакие средства защиты.

Linux очень гибкая система, она предоставляет атакующим широкие возможности для скрытного продвижения. О реальных руткитах под Linux писали в этом году и мы, и другие участники рынка: Puma и Kitsune, Reptile и т. д. Нет оснований считать, что злоумышленники остановят свои исследования в этой области.

Атаки на macOS

В фокусе злоумышленников будут такие компоненты macOS, как Keychain, TCC, SIP, File Quarantine, Gatekeeper, Xprotect. Несмотря на стереотип, что «под Mac вирусов нет», новые вредоносы под него все же появляются, как и уязвимости. В формате BYOD компьютеры Apple присутствуют во многих российских организациях и могут стать одной из целей злоумышленников.

Атаки на репозитории открытого кода

Опыт прошлых лет показывает, что успешная атака на репозиторий открытого кода, хоть довольна сложна и длительна в исполнении, приносит злоумышленникам «долгоиграюшие» результаты, поскольку позволяют добавлять вредоносную функциональность в доверенный код. Известные примеры: атаки на NPM, PyPI и Crates. Но есть еще такие репозитории, как Nuget, Maven, Composer, Go, Rpm, Debian, и они могут стать целью атакующих просто потому, что популярны.

ИИ — для создания инструментария и проведения атак

Пользоваться основанным на ИИ инструментарием для взлома станет еще легче, фреймворки станут еще дружелюбнее для новичков. Количество сгенерированных инструментов будет увеличиваться. Скорее всего, это будет происходить в среде злоумышленников с низкой технической подготовкой. Виной тому станет вайб-кодинг. Признаки потенциального использования этого метода для создания вредоносного ПО мы уже видели в наших расследованиях в этом году.

При этом APT-группировки и группы профессиональных киберпреступников, обеспеченные ресурсами, вряд ли будут автоматизировать написание вредоносного ПО, но будут использовать LLM-модели в атаках. Прецеденты уже есть: например, разработчик Claude AI, компания Anthropic в этом году рассказывала, как пресекла попытку использования их модели во вредоносных целях. О множественных примерах использования ИИ для создания вредоносных кампаний рассказывала Open AI (разработчик ChatGPT). Фреймворк Hexstrike-AI — оркестратор более 150 самостоятельных ИИ-агентов, каждый из которых способен выполнять специфическое вредоносное действие — пока что самый яркий пример потенциала, который ИИ открыл для атакующих.

Маскировка вредоносного трафика

Современные защитные решения научились довольно успешно выявлять вредоносный трафик, что заставляет злоумышленников совершенствовать методы обхода. Маскировка становится сложнее: ВПО внедряет полезную нагрузку в легитимные протоколы, такие как ICMP, помещая полезную нагрузку в те части протокола, где она не будет выглядеть аномалией, имитируя обычный трафик, чтобы слиться с фоновым шумом. Например, подобный подход был использован в новом бэкдоре IDFKA. Злоумышленники также настраивают график работы ВПО на время активности жертвы, чтобы трафик не отличался по времени от легитимного. ВПО все чаще переиспользует открытые порты для обхода межсетевых экранов и мимикрии под легитимные процессы на зараженной машине. Таким образом злоумышленники добиваются того, чтобы вредоносный трафик становился все больше похожим на легитимный, и его было сложнее выявить.

Киберпреступность

Снижение «порога входа»

Растет число группировок относительно низкой квалификации, которые покупают уже готовые доступы в инфраструктуру и инструменты шифрования. Вместе с трендом на vibe coding это приведет к дальнейшему увеличению количества атак, организованных киберпреступниками-любителями.

Мошеннические атаки на популярные мессенджеры и госсервисы

Атаки на пользователей мессенджеров, а также различные госсервисы — тренд последних лет. Хотя уровень осведомленности у граждан о таких атаках растет, пока что нет оснований полагать, что в 2026 году они прекратятся. Злоумышленники не устают создавать новые мошеннические сценарии. Поскольку атакующие стараются привязывать свою деятельность к наиболее привлекающим внимание сущностям, следует ожидать, что самые популярные из них будут и самыми атакуемыми. Общественный резонанс, возникающий вокруг запуска новых сервисов, — как раз такой случай. Мы уверены, разработчики популярных программ прилагают большие усилия, чтобы бороться с вредоносными атаками через такие приложения, но пользователям все равно следует быть начеку.