Разрушение «карточного домика» FIMI: от диагностики к сдерживанию

Обзор 4-го отчета Европейской службы по внешним связям (EEAS) об угрозах, связанных с манипулированием иностранной информацией и вмешательством (FIMI), март 2026

1. Метаданные доклада

В марте 2026 года Европейская служба по внешним связям (EEAS) опубликовала свой четвертый ежегодный отчет об угрозах, связанных с манипулированием иностранной информацией и вмешательством (Foreign Information Manipulation and Interference, FIMI). Документ озаглавлен «Разрушение карточного домика FIMI» (Disrupting the FIMI House of Cards) и продолжает серию отчетов, выпускаемых с 2023 года.

Доклад подготовлен подразделением стратегических коммуникаций EEAS (GII.GLOBAL.STRAT.DMD), которое с 2015 года играет ключевую роль в мониторинге и противодействии FIMI. Предисловие подписано Высоким представителем ЕС по иностранным делам и политике безопасности Каей Каллас. Методологически отчет базируется на стратегическом мониторинге EEAS и исследованиях открытых источников за период с 1 января по 31 декабря 2025 года. Все инциденты закодированы в формате STIX (Structured Threat Information Expression), что обеспечивает стандартизированный обмен данными об угрозах.

Принципиально важная оговорка, которую авторы делают в начале документа: представленные данные отражают выборочную, ограниченную по времени выборку наблюдаемой деятельности. EEAS не охватывает все регионы и языки, поэтому реальный масштаб операций FIMI может значительно превышать задокументированный.

 

2. Ключевые количественные данные

Масштаб зафиксированной деятельности в 2025 году является значительным. EEAS выявила и проанализировала 540 инцидентов FIMI по всему миру, в которые были вовлечены около 10 500 уникальных каналов, включая сайты с фальшивыми новостями, аккаунты в социальных сетях и блоги. Общее число зафиксированных единиц контента (тексты, аудио, видео) составило около 43 000 объектов на 19 различных платформах.

Атрибуция инцидентов распределилась следующим образом: 29% отнесены на счет России, 6% приписаны Китаю, а 65% остаются без установленной принадлежности. При этом авторы подчеркивают, что в неатрибутированных инцидентах прослеживаются признаки координации с инфраструктурами, связанными с Россией или Китаем.

Структура каналов, задействованных в операциях FIMI, представлена в виде инфографики «айсберг»: лишь 9,5% каналов напрямую связаны с государственным субъектом (2,5% официальные государственные каналы, 7% контролируемые государством СМИ). Оставшиеся 90,5% составляют скрытые ресурсы: 4,5% каналов связаны с государством, а 86% классифицированы как «ориентированные на государство» без установленной прямой связи.

Платформа X доминирует в выборке: 88% случаев были сосредоточены именно на ней. Авторы объясняют это присутствием сетей координированного неаутентичного поведения (CIB), простотой создания фальшивых аккаунтов и более прямым доступом к данным. Telegram (7%), Facebook (3%), TikTok (2%) и YouTube (1%) значительно отстают.

Особого внимания заслуживает динамика использования ИИ: 27% инцидентов в 2025 году были связаны с тактиками, использующими искусственный интеллект. Количество таких случаев увеличилось с 41 до 147, что составляет рост примерно на 259% по сравнению с 2024 годом.

По количеству инцидентов пятерка наиболее атакуемых стран выглядит так: Украина (112), Франция (107), Молдова (94), Германия (71), США (51). За ними следуют Великобритания (36), Армения (18), Польша (17), Бельгия (16), Сирия (15), Румыния (14), Япония (13), Кот-д’Ивуар (13), Италия (11) и Испания (11). В целом атакам подверглись более 100 стран, около 200 организаций и приблизительно 140 физических лиц.

3. Основные выводы и тенденции

3.1. От диагностики к сдерживанию

Концептуально наиболее значимым нововведением доклада является переход от описания угроз к модели активного сдерживания (deterrence). EEAS представляет «Справочник по сдерживанию FIMI» (FIMI Deterrence Playbook), который заимствует логику «цепочки уничтожения» (kill chain) из кибербезопасности и применяет ее к информационным операциям. Операции FIMI разбиваются на последовательные фазы от планирования и финансирования до реализации и усиления, и на каждом этапе определяются точки вмешательства.

Сдерживание определяется как «способность изменить соотношение затрат и выгод для субъекта таким образом, чтобы он отказался от нежелательных действий». Четыре инструмента составляют основу: санкции, правоохранительные меры, цифровое регулирование (в первую очередь DSA) и повышение устойчивости общества.

3.2. FIMI как отрасль: модель «FIMI-as-a-Service»

Доклад фиксирует принципиальный сдвиг: FIMI функционирует как целая отрасль с многоуровневой бизнес-экосистемой. Различные виды деятельности планируются, финансируются и передаются на субподряд, создавая модель «FIMI-as-a-Service». Это находит отражение в пересечении FIMI с организованной преступностью: преступные структуры предоставляют инфраструктуру, технические знания и глобальный охват, получая взамен финансовое вознаграждение и политическое прикрытие.

3.3. Полная интеграция ИИ в операции FIMI

Искусственный интеллект перешел из стадии экспериментального использования в повседневную практику. Синтезированные аудио- и видеоматериалы, тексты, сгенерированные с помощью ИИ, стали экономически эффективными и масштабируемыми инструментами. Злоумышленники перешли от обычных голосовых наложений к передовым методам клонирования голоса. Видеоролики с имитацией конкретных лиц становятся все более изощренными.

При этом авторы отмечают парадокс: несмотря на расширение, большая часть материалов, сгенерированных ИИ, по-прежнему отличается низким качеством. Злоумышленники отдают приоритет количеству, а не качеству, что приводит к низкому уровню естественного взаимодействия. Единственное исключение, отмеченное в докладе: Storm-1516 способна генерировать органическое взаимодействие и проникать в подлинные публичные дискуссии.

Принципиально новая угроза: инфраструктура Portal Kombat подозревается в наводнении информационного пространства некачественным многоязычным контентом с целью повлиять на обучающие данные ИИ и внедрить ложные утверждения, замаскированные под источники достоверной информации. В исследовании CheckFirst, на которое ссылается доклад, это явление описывается как загрязнение LLM (LLM pollution).

3.4. Трехфазный российский сценарий вмешательства в выборы

Доклад документирует устойчивый «сценарий» российского вмешательства в выборы, состоящий из трех фаз. Первая фаза, за несколько месяцев до выборов, предполагает контроль над информационным пространством и делегитимизацию политического руководства через обвинения в коррупции, проблемах со здоровьем, подчиненности ЕС. Вторая фаза, во время избирательной кампании, сосредоточена на использовании внутренних разногласий как оружия. Третья фаза, в последние недели перед голосованием, направлена на подрыв честности выборов и поощрение воздержания от участия.

Эта схема была применена в 2025 году в Германии, Польше, Румынии, Молдове, Чехии и Кот-д’Ивуаре. EEAS характеризует ее как повторяющийся и предсказуемый сценарий, который можно заранее предвидеть и нейтрализовать.

3.5. Перенос инфраструктуры с Молдовы на Армению

Один из наиболее значимых выводов доклада: после завершения выборов в Молдове в октябре 2025 года российские IMS (в первую очередь Operation Overload и Storm-1516) перенаправили свои усилия на Армению в преддверии парламентских выборов в июне 2026 года. Сходство между кампаниями против Молдовы и Армении проявляется в четырех основных линиях атаки на политических лидеров: обвинения в моральной развращенности, коррупции, служении иностранным интересам и утрате суверенитета.

Показательная деталь: хотя нарративы играют на местных страхах, они зачастую распространяются на западноевропейских языках, а не на румынском, армянском или русском, что указывает на более широкую аудиторию дискредитации.

3.6. Стратегическая переориентация российской FIMI на Европу

За последний год российские кампании претерпели стратегическую переориентацию: акцент сместился с распределения между ЕС и США в сторону Европы. Россия сосредоточила внимание на ЕС как на противнике, демонстрируя непоследовательность в отношении США и позиционируя себя как альтернативу «морально деградировавшему Западу». Бюджет государственных СМИ России на 2026 год составляет 146,3 млрд рублей (около 1,56 млрд евро), что на 7% больше, чем в 2025 году.

3.7. Китайская FIMI: подавление информации и «мягкая» экспансия

Китай позиционируется в докладе как субъект с качественно иным подходом. Если стратегической целью России является прежде всего раскол и искажение (что подтверждает «радар 5D»), то Китай доминирует в категории «отклонение» (deflect): утверждение, что критика предвзята, и продвижение собственных нарративов. Транснациональное подавление информации (TIS) остается ключевой проблемой: Китай стимулирует самоцензуру, нацеливаясь на СМИ, бизнес, академические круги и диаспору.

4. Акторы и инфраструктуры

Доклад впервые предоставляет настолько детальную карту информационных наборов манипуляции (Information Manipulation Sets, IMS). IMS определяется как «цифровая подпись» злоумышленника: совокупность враждебных действий, инструментов, тактик, методов, процедур и ресурсов, которые, как предполагается, исходят от одного субъекта угрозы.

Российские IMS

Storm-1516 (также CopyCop / False Façade) описывается как наиболее успешная IMS, способная проникать в подлинный общественный дискурс. Контент набирает от 5 000 до 4 миллионов просмотров. В 2025 году объем деятельности почти удвоился; создано пять новых сетей поддельных сайтов, охватывающих 453 веб-сайта, ориентированных на немецкую, американскую, французскую, молдавскую и международную аудитории. Критически важно: Storm-1516 все чаще прибегает к сетям нанятых инфлюенсеров вместо каналов Telegram.

Doppelgänger, управляемый попавшими под санкции ЕС организациями Social Design Agency и Struktura, продолжает подделывать легитимные СМИ. Однако его активность остается стабильной или слегка снижается: меньше доменов с опечатками, отсутствие всплесков контента в ответ на стратегические события, и, по-видимому, прекращение деятельности на платформах Meta.

Operation Overload (также «Матрешка») значительно активизировалась, публикуя до 20 видеороликов в день и выпустив за год более 700 видеороликов. Расширила географию на Польшу, Румынию, Армению и Молдову. Характерная особенность: сегментация аудитории по платформам, когда контент на западноевропейских языках распространяется в X, а на восточноевропейских языках идет через Telegram.

Portal Kombat (сеть «Правда») увеличила объем публикаций до 10 000 статей в день на 101 веб-сайте. В конце 2024 года были зарегистрированы 26 новых субдоменов, ориентированных на конкретные регионы и этнические общности, включая Страну Басков, Республику Сербскую и Балканы, с нарративами об автономии, идентичности и региональном национализме.

Китайские IMS

Spamouflage в 2025 году усовершенствовала использование видеороликов с имитацией личности, созданных с помощью ИИ, для дискредитации диссидентов. Paperwall осуществила крупнейшее расширение инфраструктуры, добавив 108 дополнительных доменов и охватив 40 новых стран на 15 новых языках, при этом наполняя сайты контентом, переведенным с русскоязычных источников, включая контролируемые государством СМИ. Сеть Falsos Amigos, связанная с CGTN, использует ИИ для перефразирования и перевода контента с целью создания внешне независимых статей.

Общая инфраструктура «на услугу»

Важная находка доклада: одна и та же «арендованная» сеть CIB на платформе X использовалась для усиления контента как Spamouflage (Китай), так и Operation Overload (Россия). Это указывает на существование коммерческого рынка, на котором сети усиления мобилизуются разными субъектами за плату.

5. Региональный фокус: Восточное партнерство и страны Балтии

5.1. Украина

Украина остается главной мишенью российской FIMI. Активность преследует три основные цели: снижение международной поддержки (ЕС представляется стороной, затягивающей войну), представление Украины как инициатора атак (операции под ложным флагом, включая инцидент с Чернобыльской АЭС), и обвинения в дестабилизирующей деятельности (ложные обвинения украинских беженцев в терроризме). Все уровни российской экосистемы FIMI мобилизуются для четырех аудиторий: украинской, европейской, западной и африканской, с адаптацией контента и языков для каждой.

5.2. Молдова и Армения

Парламентские выборы в Молдове (октябрь 2025) столкнулись с беспрецедентной волной гибридных угроз. TikTok заблокировал более 13 000 неаутентичных аккаунтов, действовавших во время выборов. После завершения молдавского цикла инфраструктура FIMI была переориентирована на Армению. Документированное сходство четырех линий атаки (моральная развращенность, коррупция, иностранное вмешательство, утрата суверенитета) подтверждает наличие стандартизированного «шаблона» вмешательства.

5.3. Беларусь

Хотя Беларусь не является отдельным фокусом доклада, несколько положений имеют прямое отношение к беларускому контексту. Во-первых, 12 физических лиц включены в санкционный список в рамках режима санкций в отношении Беларуси за деятельность, связанную с FIMI. Во-вторых, описанные в докладе российские механизмы подавления независимых голосов (более 1000 человек и организаций преследуются по законодательству об иностранных агентах, экстремистах и государственной измене) функционально сходны с практиками, применяемыми в Беларуси с 2020 года, хотя доклад не проводит этой параллели напрямую. В-третьих, продвижение Россией государственных платформ «Макс» и «РуТюб» при одновременных ограничениях YouTube и Telegram меняет ландшафт русскоязычного контента, к которому беларуская аудитория имеет доступ: по мере миграции российских производителей контента на государственные платформы меняется и состав информационного предложения для всего русскоязычного пространства.

5.4. Страны Балтии

Доклад указывает, что Литва и Эстония (наряду с Польшей и Румынией) упоминаются среди стран ЕС, подвергшихся эскалационным гибридным действиям России (вторжения дронов, акты саботажа, атаки на критически важную инфраструктуру), которые сопровождались мероприятиями FIMI. В контексте предстоящих выборов Эстония, Латвия, а также Швеция, Дания, Словения, Венгрия, Болгария и Кипр названы среди государств-членов, которые могут столкнуться со схемами вмешательства. Балтийское море и Арктика прогнозируются как новые целевые регионы в информационном пространстве.

6. Методологические инновации

Доклад представляет несколько аналитических новшеств. «Галактика операций FIMI» (FIMI Operations Galaxy) визуализирует взаимосвязи между примерно 3000 наиболее активных каналов, выявляя центральное ядро (преимущественно российская инфраструктура) и периферийные кластеры, ориентированные на конкретные регионы (Молдова, Армения, MENA, Африка к югу от Сахары). Второй сетевой граф маркирует каналы по принадлежности к конкретным IMS, показывая, что кластер Doppelgänger и RRN Media Brands изолирован от остальных IMS, Storm-1516 занимает центральное место в общей сети, а Portal Kombat, несмотря на значительный объем доменов, располагается на ее периферии.

«Радар 5D» стратегических целей (Dismay, Distort, Distract, Divide, Dismiss) применяется отдельно для России и Китая, выявляя качественное различие: Россия преобладает в категориях «искажение» и «раскол», Китай доминирует в «отклонении». Рамочная концепция сдерживания (Deterrence Playbook) систематизирует три уровня архитектуры FIMI (организационная структура, цифровая инфраструктура, контент) и четыре инструмента воздействия (санкции, правоохранительные меры, цифровое регулирование, устойчивость) в единую матрицу с конкретными триггерами и ожидаемыми последствиями.

Важным методологическим уточнением является разграничение между IMS (набор манипуляций информацией как «цифровая подпись» субъекта) и инфраструктурой (базовая технологическая основа, которая может быть частью IMS). Это разграничение, разработанное совместно с французским агентством VIGINUM, позволяет точнее описывать сложные сетевые структуры.

7. Практические рекомендации

Доклад завершается набором конкретных рекомендаций, адресованных государствам-членам ЕС, институтам и партнерам. Укрепление механизмов сбора данных и обмена информацией: создание межюрисдикционных каналов передачи доказательств, в том числе посредством расследований на основе открытых источников. По санкциям предлагается трехэтапный подход: повысить точность включения в списки, усилить меры по обеспечению соблюдения и адаптировать механизм для предотвращения обхода. Меры, направленные на посредников и поставщиков услуг, подразумевают укрепление обмена информацией между государственными органами и частным сектором. Использование правовых и правоохранительных механизмов: более тесная интеграция правоохранительных органов в усилия по противодействию FIMI. На уровне ЕС предлагается исследование существующих правовых инструментов для выявления пробелов и путей укрепления правовой базы.

8. Критическая оценка

Авторы доклада сами признают ряд ограничений. Данные отражают ограниченную часть деятельности, поскольку EEAS не охватывает все регионы и языки. Выявленные тенденции не следует рассматривать как исчерпывающие. Выводы не претендуют на репрезентативность в отношении общей деятельности упомянутых субъектов.

Помимо признанных авторами ограничений, можно отметить ряд дополнительных наблюдений. Концентрация 88% случаев на платформе X может создавать искажение: это не обязательно означает, что X является главной площадкой для FIMI, а скорее отражает доступность данных. Ограничения доступа на других платформах (Meta, TikTok, YouTube) могут скрывать значительные объемы деятельности.

Беларусь, несмотря на упоминание в контексте санкций и законодательства об иноагентах, не получает отдельного раздела. Это может быть связано с тем, что EEAS фокусируется на внешних операциях FIMI, тогда как значительная часть беларуской пропаганды направлена на внутреннюю аудиторию. Тем не менее роль Беларуси как ретранслятора российских нарративов заслуживает более глубокого анализа.

Доклад не дает количественной оценки эффективности мер сдерживания, которые уже применяются. Утверждение о том, что санкции и правоохранительные меры могут «разрушить карточный домик», нуждается в эмпирической верификации. Показательно, что сам доклад фиксирует продолжение деятельности Doppelgänger, несмотря на включение управляющих им организаций Social Design Agency и Struktura в санкционные списки ЕС.

9. Релевантность для Беларуси и региона

Несмотря на то что Беларусь не является центральным объектом данного доклада, его выводы имеют прямую значимость для беларуского контекста в нескольких измерениях.

Описанная в докладе модель «FIMI-as-a-Service» дает аналитическую рамку для понимания механизмов, с которыми сталкивается беларуское информационное пространство. [Наблюдение FactCheck.LT:] Данные FORESIGHT MAS (база знаний FactCheck.LT, содержащая более миллиона документов из беларуских источников) фиксируют паттерны, соответствующие описанным в «Галактике FIMI»: синхронность нарративов между российскими и беларускими государственными СМИ, использование сходных TTP.

[Наблюдение FactCheck.LT:] Трехфазный российский сценарий вмешательства в выборы, задокументированный в докладе для шести стран в 2025 году, обнаруживает структурное сходство с событиями в Беларуси в 2020 году: делегитимизация оппозиции, использование внутренних разногласий и подрыв честности выборов. Доклад EEAS эту параллель не проводит.

Описанная в докладе угроза загрязнения обучающих данных LLM со стороны Portal Kombat имеет прямое значение для русскоязычного информационного пространства, включая Беларусь. [Наблюдение FactCheck.LT:] Исследования FactCheck.LT в рамках проекта LLM Bias Study (тестирование 10 моделей на 50 вопросах о Беларуси) показали, что русскоязычные модели демонстрируют значительно более низкую устойчивость к пропагандистским нарративам.

Рекомендация доклада о создании межюрисдикционных каналов передачи доказательств напрямую касается организаций гражданского общества, работающих в изгнании. Стандартизация обмена данными в формате STIX, описанная в докладе, является приоритетной задачей для организаций, работающих в сфере противодействия FIMI в беларуском контексте.

Наконец, прогноз доклада о том, что регион Балтийского моря станет новой целью в информационном пространстве, непосредственно затрагивает Литву и другие страны, где работают беларуские исследовательские организации. Это подчеркивает необходимость интеграции мониторинга беларуских государственных медиа в более широкие европейские системы раннего предупреждения.