Ландшафт кибербезопасности в начале 2026 года характеризуется не столько новыми сложными эксплойтами, сколько методичным злоупотреблением доверием пользователей через обновления, расширения и процедуры входа в систему. Злоумышленники все чаще нацеливаются на системы, которые считаются стабильными или «скучными», повторно используя знакомые векторы атак. Ярким примером этой тенденции стала кампания ботнета RondoDox, продолжающаяся уже девять месяцев и направленная на устройства интернета вещей (IoT) и веб-приложения. Ботнет эксплуатирует уязвимость React2Shell (CVE-2025-55182) в React Server Components (RSC) и Next.js. Данная уязвимость классифицируется как критическая с оценкой CVSS 10.0 и позволяет удаленное выполнение кода (RCE). По данным Shadowserver Foundation от 4 января 2026 года, в мире насчитывается 84 916 уязвимых инстансов, из которых 66 200 находятся в США.
Сфера криптовалют столкнулась с серьезным инцидентом, связанным с расширением Trust Wallet для Chrome. В результате атаки на цепочку поставок, известной как Shai-Hulud (вторая итерация), злоумышленники похитили активы на сумму около 8,5 миллионов долларов. Вектор атаки включал кражу API-ключа Chrome Web Store и секретов разработчиков с GitHub, что позволило обойти стандартные процессы утверждения релизов. Криминалистический анализ связал вспышку активности с ноябрем 2025 года, хотя подготовка была обнаружена еще 8 декабря 2025 года. Анализ Koi показал, что сервер злоумышленников возвращал цитату из «Дюны»: «Тот, кто контролирует пряность, контролирует вселенную». По данным SlowMist, общие потери в криптоиндустрии за 2025 год составили 2,935 миллиарда долларов в результате 200 инцидентов, что на 46% больше по финансовому ущербу, чем в 2024 году, несмотря на снижение количества атак.
Масштабную угрозу для браузеров представляет кампания DarkSpectre, организованная китайской группировкой, которая за 7 лет скомпрометировала более 8,8 миллиона пользователей Chrome, Edge, Firefox и Opera. Операция разделена на подкатегории: ShadyPanda (5,6 млн заражений для слежки и мошенничества в e-commerce), The Zoom Stealer (2,2 млн жертв корпоративного шпионажа) и GhostPoster (более 1 млн пользователей). Последняя использует стеганографию в PNG-изображениях на доменах
Геополитическая напряженность находит отражение и в других кибероперациях. Проиранская группа Handala Team взломала аккаунты в Telegram израильских чиновников, включая бывшего премьер-министра Нафтали Беннета и главу администрации Нетаньяху Цахи Бравермана. Аналитики KELA подтвердили, что в ноябре 2025 года группа опубликовала список специалистов аэрокосмической и технической отраслей. В Венгрии была ликвидирована сеть недостоверных аккаунтов политической партии Фидес. В Азии группировка Mustang Panda (HoneyMyte) с середины 2025 года атакует неустановленные цели, используя новый руткит уровня ядра и бэкдор TONESHELL, инфраструктура для которого была построена в сентябре 2024 года, а активная фаза началась в феврале 2025 года. На дипломатическом фронте Управление по контролю за иностранными активами (OFAC) казначейства США сняло санкции с Мерома Харпаза, Андреа Никола Константино Гермеса Гамбацци и Сары Александры Фейсал Хаму, связанных с консорциумом Intellexa (разработчиком шпионского ПО Predator), так как они доказали свое отделение от организации.
Корпоративный сектор и рядовые пользователи подвергаются рискам через аппаратные и программные уязвимости. Чипы Airoha в Bluetooth-наушниках брендов Sony, Marshall, JBL и Beyerdynamic оказались подвержены уязвимостям CVE-2025-20700, CVE-2025-20701 и CVE-2025-20702, позволяющим прослушивание и извлечение контактов (исправлено в июне). Пользователи Microsoft Teams атакуются через фишинг с обратным звонком и вишинг, где поддельные звонки IT-поддержки через Quick Assist приводят к запуску
В список критических уязвимостей (CVE), требующих немедленного внимания, вошли проблемы в IBM API Connect (CVE-2025-13915), SmarterTools SmarterMail (CVE-2025-52691) и Apache StreamPipes (CVE-2025-47411). Серьезные риски также обнаружены в Apache NuttX RTOS (CVE-2025-48769) и электрических колясках WHILL моделей C2 и F (CVE-2025-14346). Критические обновления безопасности требуются для устройств QNAP (CVE-2025-52871, CVE-2025-53597) и Eaton UPS Companion (CVE-2025-59887, CVE-2025-59888). В то же время Python Software Foundation сообщает, что 52% активных пользователей PyPI включили двухфакторную аутентификацию, а более 50 000 проектов используют доверенную публикацию.
Искусственный интеллект остается палкой о двух концах. Microsoft сообщает, что кликабельность фишинга, автоматизированного с помощью ИИ, составляет 54%, тогда как для стандартного фишинга этот показатель равен 12%. OpenAI выпустила обновление безопасности для «Режима агента» в ChatGPT Atlas для борьбы с инъекциями промптов, однако компания признает, что такие инъекции «могут никогда не исчезнуть полностью». Также растет обеспокоенность по поводу масштабирования ИИ-агентов с инструментами вроде Claude Code и Copilot из-за рисков неуправляемых серверов MCP и скрытых API-ключей.
Для специалистов по безопасности актуальны новые инструменты и образовательные ресурсы. Представлен rnsec — легковесный сканер безопасности командной строки для приложений React Native и Expo, обеспечивающий статический анализ без конфигурации. Также популярен Duplicati — бесплатный инструмент резервного копирования с шифрованием и поддержкой S3, Google Drive и OneDrive. В 2026 году продвигаются вебинары по темам безопасности идентификации в эру ИИ (спикеры Эйб Анкума и Фрэнсис Одум), защиты от бесфайловых атак («Living off the Land») и масштабирования услуг MSSP с участием Дэвида Примора и Чада Робинсона.
Изображение носит иллюстративный характер
Сфера криптовалют столкнулась с серьезным инцидентом, связанным с расширением Trust Wallet для Chrome. В результате атаки на цепочку поставок, известной как Shai-Hulud (вторая итерация), злоумышленники похитили активы на сумму около 8,5 миллионов долларов. Вектор атаки включал кражу API-ключа Chrome Web Store и секретов разработчиков с GitHub, что позволило обойти стандартные процессы утверждения релизов. Криминалистический анализ связал вспышку активности с ноябрем 2025 года, хотя подготовка была обнаружена еще 8 декабря 2025 года. Анализ Koi показал, что сервер злоумышленников возвращал цитату из «Дюны»: «Тот, кто контролирует пряность, контролирует вселенную». По данным SlowMist, общие потери в криптоиндустрии за 2025 год составили 2,935 миллиарда долларов в результате 200 инцидентов, что на 46% больше по финансовому ущербу, чем в 2024 году, несмотря на снижение количества атак.
Масштабную угрозу для браузеров представляет кампания DarkSpectre, организованная китайской группировкой, которая за 7 лет скомпрометировала более 8,8 миллиона пользователей Chrome, Edge, Firefox и Opera. Операция разделена на подкатегории: ShadyPanda (5,6 млн заражений для слежки и мошенничества в e-commerce), The Zoom Stealer (2,2 млн жертв корпоративного шпионажа) и GhostPoster (более 1 млн пользователей). Последняя использует стеганографию в PNG-изображениях на доменах
gmzdaily.com и mitarchive.info для скрытия вредоносной нагрузки. Параллельно с этим, в Индии активизировалась китайская группа Silver Fox, использующая вредоносное ПО ValleyRAT (вариант Gh0st RAT, также известный как Winos 4.0) под видом налоговых документов. Статистика заражений включает 39 случаев в S. (предположительно Юг или конкретный регион), 29 в Гонконге, 11 на Тайване и 7 в Австралии. Геополитическая напряженность находит отражение и в других кибероперациях. Проиранская группа Handala Team взломала аккаунты в Telegram израильских чиновников, включая бывшего премьер-министра Нафтали Беннета и главу администрации Нетаньяху Цахи Бравермана. Аналитики KELA подтвердили, что в ноябре 2025 года группа опубликовала список специалистов аэрокосмической и технической отраслей. В Венгрии была ликвидирована сеть недостоверных аккаунтов политической партии Фидес. В Азии группировка Mustang Panda (HoneyMyte) с середины 2025 года атакует неустановленные цели, используя новый руткит уровня ядра и бэкдор TONESHELL, инфраструктура для которого была построена в сентябре 2024 года, а активная фаза началась в феврале 2025 года. На дипломатическом фронте Управление по контролю за иностранными активами (OFAC) казначейства США сняло санкции с Мерома Харпаза, Андреа Никола Константино Гермеса Гамбацци и Сары Александры Фейсал Хаму, связанных с консорциумом Intellexa (разработчиком шпионского ПО Predator), так как они доказали свое отделение от организации.
Корпоративный сектор и рядовые пользователи подвергаются рискам через аппаратные и программные уязвимости. Чипы Airoha в Bluetooth-наушниках брендов Sony, Marshall, JBL и Beyerdynamic оказались подвержены уязвимостям CVE-2025-20700, CVE-2025-20701 и CVE-2025-20702, позволяющим прослушивание и извлечение контактов (исправлено в июне). Пользователи Microsoft Teams атакуются через фишинг с обратным звонком и вишинг, где поддельные звонки IT-поддержки через Quick Assist приводят к запуску
updater.exe с вредоносного ресурса jysync[.]info (по данным Trustwave). Также исследователи Джошуа Грин и Томас Элкинс из BlueVoyant выявили кампанию группировки GrayAlpha (FIN7), распространяющую бэкдор FireClient через поддельные расширения SAP Concur и вредоносную рекламу в Bing. В список критических уязвимостей (CVE), требующих немедленного внимания, вошли проблемы в IBM API Connect (CVE-2025-13915), SmarterTools SmarterMail (CVE-2025-52691) и Apache StreamPipes (CVE-2025-47411). Серьезные риски также обнаружены в Apache NuttX RTOS (CVE-2025-48769) и электрических колясках WHILL моделей C2 и F (CVE-2025-14346). Критические обновления безопасности требуются для устройств QNAP (CVE-2025-52871, CVE-2025-53597) и Eaton UPS Companion (CVE-2025-59887, CVE-2025-59888). В то же время Python Software Foundation сообщает, что 52% активных пользователей PyPI включили двухфакторную аутентификацию, а более 50 000 проектов используют доверенную публикацию.
Искусственный интеллект остается палкой о двух концах. Microsoft сообщает, что кликабельность фишинга, автоматизированного с помощью ИИ, составляет 54%, тогда как для стандартного фишинга этот показатель равен 12%. OpenAI выпустила обновление безопасности для «Режима агента» в ChatGPT Atlas для борьбы с инъекциями промптов, однако компания признает, что такие инъекции «могут никогда не исчезнуть полностью». Также растет обеспокоенность по поводу масштабирования ИИ-агентов с инструментами вроде Claude Code и Copilot из-за рисков неуправляемых серверов MCP и скрытых API-ключей.
Для специалистов по безопасности актуальны новые инструменты и образовательные ресурсы. Представлен rnsec — легковесный сканер безопасности командной строки для приложений React Native и Expo, обеспечивающий статический анализ без конфигурации. Также популярен Duplicati — бесплатный инструмент резервного копирования с шифрованием и поддержкой S3, Google Drive и OneDrive. В 2026 году продвигаются вебинары по темам безопасности идентификации в эру ИИ (спикеры Эйб Анкума и Фрэнсис Одум), защиты от бесфайловых атак («Living off the Land») и масштабирования услуг MSSP с участием Дэвида Примора и Чада Робинсона.
