Докладът за заплахите на CrowdStrike (американска компания за технологии за киберсигурност) за 2026 г. сочи, че свързаните с Китай хакери са увеличили броя на проникванията и бързо са се възползвали от уязвимостите в периферните устройства, използвани от глобални компании
CrowdStrike установи, че свързаните с Китай киберхакери са увеличили целенасочените си атаки с 38 процента през 2025 г., като нападенията срещу логистични организации са нараснали с 85 процента. Китайските хакерски групи ускориха експлоатацията на корпоративни технологични системи и инструменти за изкуствен интелект (ИИ).
Американската компания за киберсигурност публикува тези констатации в своя Глобален доклад за заплахите за 2026 г.
CrowdStrike представи усилията на китайския режим да „открадне ИИ възможности, които не може да изгради сам“.
Докладът посочва, че свързаните с Китай нападатели многократно са атакували достъпни от интернет „периферни“ устройства – като VPN апаратура, защитни стени и портали – за да проникнат в мрежи и да установят дългосрочно присъствие с цел събиране на разузнавателна информация.
Според доклада 67 процента от възможностите за злоупотреба, използвани от свързаните с Китай хакери през 2025 г., са осигурили незабавен достъп до системата. От тях 40 процента са насочени към достъпни от интернет периферни устройства.
Компанията съобщи също, че китайските атаки срещу телекомуникационни организации са нараснали с 30 процента, а тези срещу финансови институции – с 20 процента.
Логистика, телекомуникации и финанси на прицел
CrowdStrike заяви, че моделът на атаките съответства на стратегическите приоритети на Китайската комунистическа партия – телекомуникационно наблюдение, икономически шпионаж и технологичен трансфер.
Докладът посочва, че свързаните с Китай хакери продължават да се насочват към сектори, съдържащи ценна интелектуална собственост, търговски тайни, комуникационни данни и достъп до инфраструктура.
Логистиката е секторът с най-голям ръст на атаките. Адам Майерс, ръководител на операциите срещу хакери в CrowdStrike, заяви по време на презентация на компанията на 9 юни, че логистиката е „вероятно основната цел“, наблюдавана сред китайските хакерски групи, с ръст от 85 процента.
Докладът посочва, че телекомуникационният сектор остава приоритетна цел за свързаните с Китай хакери. CrowdStrike заяви, че OPERATOR PANDA последователно е атакувал телекомуникационни доставчици в периода от 2021 г. до юли 2025 г., докато Genesis Panda се е съсредоточил върху телекомуникационни компании в Източна Азия,Източна Африка и Северна Америка.
Според CrowdStrike тези модели сочат, че Китай вероятно поставя на първо място способностите за прихващане на комуникации.
Периферни устройства като входна точка
Докладът посочва, че свързаните с Китай групи – сред които Warp Panda, Operator Panda, Hollow Panda, Genesis Panda, Phantom Panda, Vault Panda и Veiled Panda – са използвали уязвимости във VPN апаратура, защитни стени, портали и други системи, достъпни от интернет.
Възможностите за злоупотреба за отдалечено изпълнение на код позволяват на нападателите да изпълняват команди върху целева система отвън мрежата. CrowdStrike заяви, че много от пропуските, използвани от свързаните с Китай хакери, са осигурили директен достъп, без да е необходимо предприемането на допълнителни стъпки.
CrowdStrike заяви, че Operator Panda е използвал една възможност за злоупотреба само шест дни след като изследователи са публикували публичен код за доказателство на концепция. Phantom Panda е използвал друга възможност за злоупотреба три дни след като доставчикът я е оповестил, а Vault Panda и Genesis Panda са се възползвали от уязвимости в React2Shell само два дни след публичното им оповестяване.
Компанията прецени с висока степен на увереност, че свързаните с Китай хакери разполагат със специализирани ресурси за наблюдение на оповестените възможности за злоупотреба и бързото им превръщане в работещи инструменти за проникване.
CrowdStrike посочи, че това показва стремеж на хакерите да се възползват от краткия период между публичното оповестяване на възможност за злоупотреба и нейното отстраняване от засегнатите организации.
В един от случаите, описани в доклада, Warp Panda е атакувал американски правни, технологични и производствени компании чрез възможност за злоупотреба във VPN апаратура. CrowdStrike заяви, че хакерите са поддържали постоянен достъп до мрежата на една от жертвите в продължение на 22 месеца – от октомври 2023 г. до средата на 2025 г.
ИИ навлиза в арсенала на хакерите
Докладът посочва, че атаките от хакери, използващи ИИ, са нараснали с 89 процента на годишна база през 2025 г.
CrowdStrike заяви, че използването на ИИ до голяма степен е ускорило съществуващите кибератаки, вместо да създаде изцяло нови методи. Компанията посочи, че хакерите са използвали ИИ за социално инженерство, информационни операции, разработване на зловреден софтуер, генериране на код и действия след успешно проникване в система.
В конкретен пример, свързан с Китай, CrowdStrike заяви, че китайските разузнавателни служби са използвали ИИ за създаване на привидно легитимни консултантски фирми с цел набиране на бивши американски правителствени служители през платформи за търсене на работа.
Докладът посочва, че ИИ инструментите са помогнали на хакерите да планират разузнаване, да създават убедителни фишинг съобщения и фалшиви уеб страници, да провеждат мащабни спам кампании и да заобикалят защитни механизми за създаване на незаконно съдържание.
CrowdStrike съобщи също, че хакерите са започнали да атакуват самите ИИ системи. При един инцидент от 2025 г. злонамерени пакети, качени в регистъра на софтуера Node Package Manager, са проектирани да използват собствените ИИ инструменти на жертвите с команден ред – включително Claude и Gemini – за генериране на команди за кражба на удостоверителни данни и криптовалутни активи.
CrowdStrike заяви, че екипите му са се намесили при повече от 90 клиенти, чиито системи са изпълнявали злонамерения код.
Скоростта стеснява прозореца за реакция
CrowdStrike заяви, че средното „време за пробив“ при киберпрестъпленията – времето между първоначалното проникване и придвижването към по-ценни системи в мрежата – е намаляло до 29 минути през 2025 г., спрямо 48 минути през 2024 г. Най-бързото регистрирано време за пробив е 27 секунди.
Майерс заяви по време на презентацията, че тази скорост оставя отбранителите с изключително малко време да открият и спрат нарушителите, преди те да навлязат по-дълбоко в мрежата.
„Потенциално се случва пробив на всеки 30 секунди, който отбранителите трябва да открият, проучат и неутрализират“, заяви той.
Докладът посочва, че 82 процента от засечените от CrowdStrike заплахи през 2025 г. не са включвали зловреден софтуер – тоест хакерите са разчитали на легитимни идентификационни данни, оторизирани инструменти, системи за управление на самоличността, облачни услуги или доверени софтуерни канали, вместо на традиционни вируси и злонамерени програми.
Този вид дейност е по-трудна за засичане, тъй като наподобява нормалното поведение на потребителите.
Американски агенции предупреждават за подобни тактики
Американски и съюзнически агенции за киберсигурност също предупредиха за китайски хакери, спонсорирани от държавата, които атакуват критична инфраструктура.
В консултативно становище от август 2025 г. Агенцията за национална сигурност и партньорски агенции заявиха, че китайски държавно спонсорирани хакери атакуват телекомуникационни, правителствени, транспортни, хотелски и военни инфраструктурни мрежи по целия свят.
Становището посочи, че дейността частично се припокрива с данните на индустрията за киберсигурност относно китайски държавно спонсорирани хакерски групи, известни с имена като Salt Typhoon.
Microsoft, в своя Доклад за цифровата защита за 2025 г., заяви, че Китай продължава мащабна шпионска кампания в множество индустрии и че свързани с държавата хакери използват скрити мрежи и уязвими интернет-свързани устройства, за да получат достъп и да избегнат засичане.
CrowdStrike препоръча на организациите да отстраняват възможностите за злоупотреба в периферните устройства в рамките на 72 часа след оповестяването им, да засилят наблюдението за признаци на компрометиране на такива устройства и да сегментират мрежите си, за да ограничат разпространението на атаката при пробив в периметърните системи.
