РФ под прицелом «Карающей Совы»

В декабре 2025 года на киберполе появилась новая сила — группировка Punishing Owl («Карающая сова»). Её цель — исключительно российская критическая инфраструктура: госучреждения, научные и IT-компании. Первой жертвой стало учреждение из сферы безопасности. Хакеры не просто украли данные, а развернули целую инфраструктуру для их публикации, создав сайт и продублировав файлы в облаке, стратегически запустив утечку в пятницу вечером.

Атака была многоступенчатой и изощрённой. Взломав DNS своей жертвы, злоумышленники создали фиктивный субдомен, перенаправив трафик на свой сервер в Бразилии. Там они разместили не только данные, но и политический манифест, защитив подделку TLS-сертификатом. Следующим шагом стала целенаправленная фишинг-рассылка по контрагентам организации от имени реального сотрудника с вредоносным вложением.

Вредоносное ПО, использованное в атаке, выдало возможный «технологический скачок» группировки. Исследователи обнаружили в коде стилера ZipWhisper строку «generated at», что может указывать на использование искусственного интеллекта для генерации или оптимизации вредоносного кода. Это делает атаки потенциально более быстрыми и вариативными.

Цифровой след указывает, что Punishing Owl — новичок, создавший все свои аккаунты в соцсетях и на форумах даркнета в декабре 2025-го, но с явными амбициями. Администрирование, по данным, ведётся с территории Казахстана. Активное брендирование и использование собственных инструментов говорят о желании закрепиться на длительной основе, а не о разовой акции.

Эксперты считают, что появление таких политически мотивированных группировок — новая реальность. Punishing Owl, сочетающая классические методы взлома, фишинг и возможное использование ИИ, демонстрирует серьёзные намерения и может стать постоянной угрозой для государственного сектора в условиях киберпространственной напряжённости.