Кибершпионаж в Латинской Америке перестал быть нишевой историей для профильных сводок. Связанные с Китаем группы, по данным Dark Reading, атаковали как минимум 12 стран региона, собирая информацию о морских перевозках, нефтедобыче и других чувствительных для геополитики секторах. Для русскоязычной IT-аудитории это важный сигнал: там, где бизнес видит «новый рынок», государственные APT-группы уже видят логистику, сырьё и каналы влияния.
Из материала Dark Reading следует, что речь идет не о единичных взломах ради шума, а о системной разведывательной активности. Интерес атакующих сосредоточен вокруг морского судоходства, энергетики, телеком-инфраструктуры, госорганов и военных структур. Такой набор целей хорошо показывает логику операции: атакующим нужны не только отдельные документы или учетные записи, а карта принятия решений, торговых потоков и критических зависимостей региона. Иными словами, кибершпионаж в Латинской Америке все больше похож не на охоту за случайными жертвами, а на аккуратную инвентаризацию чужой инфраструктуры.
В качестве опорного контекста Dark Reading приводит свежий анализ CrowdStrike по региону. Компания сообщала 7 мая 2025 года, что в Латинской Америке выросла не только криминальная активность, но и доля операций, связанных с государственными интересами. Среди китайских групп упоминались VIXEN PANDA, AQUATIC PANDA и LIMINAL PANDA; им приписывают кампании против государственных учреждений, телеком-компаний и военных организаций. Параллельно CrowdStrike зафиксировала 15-процентный годовой рост атак с применением шифровальщиков, а самыми затронутыми странами назвала Бразилию, Мексику и Аргентину. Картина получается неприятно цельной: пока одни игроки зарабатывают на вымогательстве, другие выстраивают долгую политическую и экономическую разведку поверх той же уязвимой поверхности атаки.
Почему именно Латинская Америка? Ответ довольно приземленный. Регион быстро оцифровывается, но делает это неравномерно: где-то растут госуслуги и телеком, где-то модернизируют порты, где-то расширяют энергетическую инфраструктуру. При этом, как пишет Dark Reading, часть правительств всё активнее встраивает недорогие китайские технологии в национальные системы, часто отдавая приоритет цене и скорости внедрения, а не потенциальным рискам безопасности. Для бизнеса это обычная закупочная логика. Для разведывательных структур это приглашение изучить экосистему, в которой железо, каналы связи, подрядчики и государственные заказчики уже тесно связаны между собой.
Отдельно стоит смотреть на интерес к морской логистике и нефтяному сектору. Это не самые медийные цели, зато одни из самых полезных. Данные о судоходстве позволяют понимать, как движутся сырьё, товары и оборудование, какие маршруты критичны, где узкие места и кто с кем торгует. Информация о нефтедобыче и смежной инфраструктуре дает представление не только об экономике страны, но и о ее уязвимости в момент политического кризиса. Если добавить к этому доступ к телеком-среде и государственным сетям, получается уже не просто кража данных, а полноценный слой разведки для внешней политики, переговоров, торговых решений и, в теории, будущего давления.
На этом фоне особенно показательно, что рынок угроз в регионе становится смешанным. CrowdStrike сообщала более чем о 1 млрд скомпрометированных учетных данных, связанных с людьми и организациями в Латинской Америке, а также о 107 брокерах доступа, рекламировавших учетные данные для 428 организаций региона. Это важная деталь не только для CISO, но и для разработчиков, архитекторов и руководителей цифровых продуктов. Когда на одном рынке одновременно работают вымогатели, брокеры первоначального доступа и государственные операторы, компрометация больше не выглядит как линейная цепочка «фишинг -> шифровальщик». Один и тот же утекший доступ может сначала попасть в криминальный оборот, а затем стать отправной точкой для тихой разведки. Или наоборот.
Для российских и вообще русскоязычных компаний здесь есть довольно практичный вывод. Необязательно вести бизнес в Бразилии или Мексике, чтобы оказаться в этой зоне риска. Достаточно иметь подрядчика в регионе, интеграцию с локальным телекомом, логистическую цепочку через портовую инфраструктуру или общую облачную платформу с латиноамериканским филиалом партнера. Национальные APT-операции давно не уважают организационные границы из презентаций про холдинговую структуру. Они идут по смежности: через поставщика, MSP, сервисный аккаунт, почтовый шлюз, подрядчика по поддержке сетей. Поэтому разговор о кибершпионаже в Латинской Америке полезно вести не как о далекой региональной экзотике, а как о примере того, во что превращается цифровая взаимосвязанность, когда геополитика приходит в корпоративные сети без приглашения.
На инженерном уровне вывод тоже несложный, хотя и неприятный. Если бизнес работает с инфраструктурными рынками, полезно считать телеком, логистику, энергетику и госсектор зонами повышенного интереса не только для преступников, но и для государств. Это означает более жесткую сегментацию, раздельный контроль подрядчиков, короткий жизненный цикл привилегированных доступов, охоту за аномалиями в почте и identity-слое, а также нормальную инвентаризацию того, какие именно внешние связи реально критичны для работы. Тот факт, что речь идет о как минимум 12 странах, показывает масштаб: это уже не локальная кампания против одного рынка, а устойчивый региональный паттерн.
Главный вопрос теперь даже не в том, продолжится ли эта активность, а в том, насколько быстро компании и государства начнут считать цифровую инфраструктуру частью большой политики, а не только статьей CAPEX. Пока этот переход мышления буксует, кибершпионаж в Латинской Америке будет расширяться вместе с самой региональной цифровизацией.