Хакеры российских спецслужбх атакуют военных, ученых и аналитиков Европы и Ближнего Востока

Связанные с российским государством хакеры развернули серию целевых фишинговых атак, направленных на стратегически выбранные группы жертв в Европе и на Ближнем Востоке. 

Об этом пишет GuildHall со ссылкой на Сomputing.

Согласно данным аналитиков Recorded Future, за этими операциями стоит группа BlueDelta, также известная как Fancy Bear или APT28, которую связывают с российским ГРУ. В период с февраля по сентябрь 2025 года группировка, действующая уже более десяти лет, провела несколько кампаний по сбору учетных данных у представителей правительств, военных ведомств и исследовательских институтов.

Особенностью последних атак стала их высокая убедительность: хакеры создавали поддельные страницы входа и документы, которые визуально почти не отличались от подлинных. Они использовали тщательно составленные электронные письма на родном языке получателей, соответствующие их профессиональным интересам. Схема часто включала демонстрацию реальных PDF-документов, похищенных с сайтов легитимных организаций, после чего жертву перенаправляли на копию известного портала авторизации.

В числе целей оказались IТ-компания в Узбекистане, европейский аналитический центр, военная структура в Северной Македонии, а также турецкие ученые, занимающиеся вопросами ядерной энергетики и климатической политики. В одном из случаев исследователей заманили настоящим документом по экологии, а после ввода данных перенаправили на реальный сервис, что выглядело как обычная техническая ошибка.

По мнению исследователей, выбор жертв строго соответствует приоритетам российской стратегической разведки. Полученные учетные данные открывают доступ к почтовым ящикам и VPN-сетям, что позволяет собирать разведывательную информацию и выходить на более значимые цели через логистические цепочки и транспортные связи. Как отмечает ведущий аналитик Recorded Future Мэтт Х., это крайне избирательный подход, нацеленный на геополитические и военные задачи, а не на коммерческую выгоду. Часто под удар попадают малоизвестные организации, которые впоследствии оказываются связующим звеном с высокопоставленными лицами или критической инфраструктурой.

Для сокрытия своей деятельности BlueDelta активно применяла бесплатные онлайн-сервисы, такие как Webhook, Byet Internet Services и ngrok, вместо использования собственной хакерской инфраструктуры. Это позволило снизить затраты на проведение операций и затруднило процесс установления ответственных лиц. Аналитики ожидают, что группировка продолжит свою активность в 2026 году, фокусируясь на политических и научных кругах в регионах, представляющих стратегический интерес для Москвы. При этом упор будет делаться на скрытность и использование доверия пользователей через локализованный контент, а не на массовые технические взломы.