Ресерчеры из Лаборатории Касперского анонсировали исследование по результатам анализа публичной активности хакеров в корреляции с их операциями.

Чтобы понять как выглядят кампании хакеров в 2025 году в ЛК проанализировали более 11 000 публикаций более чем 120 групп хакеров как в открытом сегменте, так и в даркнете, уделяя особое внимание тем, кто нацелен на страны Ближнего Востока и Северной Африки.

Основная цель исследования - выявить закономерности в операциях хакеров, включая методы атак, публичные предупреждения и заявленные намерения.

Анализ проводился исключительно с точки зрения кибербезопасности и основан на принципе нейтралитета.

Причем привычный стереотип, что большинство кампаний разворачивается на скрытых форумах в реальности не соответствует действительности: планирование и реализация в массе своей происходят открыто.

При этом Telegram стал своей города командным центром современных хакерских групп, обеспечивая наибольшую эффективность планирования атак и продвижения призывов к действию. На втором месте - X (ранее - Twitter).

Как отмечают Касперы, даже безотносительно хакеров, действующих в странах Ближнего Востока и Северной Африки, атаки рассматриваемых группировок носят глобальный характер и выходят далеко за пределы региона.

Жертвы атак есть по всей Европе и на Ближнем Востоке, а также в Аргентине, США, Индонезии, Индии, Вьетнаме, Таиланде, Камбодже, Турции и других странах.

Одной из примечательных особенностей постов и сообщений хакеров в даркнете является частое использование хэштегов (#слов).

Она часто служат политическими лозунгами, усиливают основной посыл сообщений, обеспечивают координацию действий или позволяют приписывать ответственность за атаки.

Наиболее распространёнными темами являются политические заявления и названия групп хакеров, но в некоторых случаях хэштеги указывают на географические местоположения, например, конкретные страны или города.

Хэштеги также отображают альянсы и динамику.

В 2025 году ЛК выявила 2063 уникальных тега: 1484 из них появились впервые, и многие были напрямую связаны с определёнными группами или совместными кампаниями.

Большинство тегов носят временный характер, около двух месяцев, а «популярные» теги сохраняются дольше, если их поддерживают альянсы; баны каналов способствуют оттоку аудитории.

С оперативной точки зрения, сообщения о завершённых атаках доминируют в хэштегированном контенте (58%), и среди них DDoS - «рабочая лошадка» (61%).

Всплески угрожающей риторики сами по себе не предсказывают новых атак, но время имеет значение: когда публикуются угрозы, они обычно относятся к действиям в ближайшей перспективе, то есть на той же неделе или месяце.

Такая тенденция указывает на то, что раннее выявление и упреждение потенциальных атак посредством помощью мониторинга открытых каналов может быть весьма полезным на практике.

В полной версии отчета подробно изложены следующие выводы относительно того, сколько времени обычно проходит до сообщения об атаке после публикации угрозы, как теги используются для координации атак, а также закономерности в разных кампаниях и регионах.