Хакерская группа Leek Likho в 2026 году начала использовать искусственный интеллект (ИИ) в атаках на российские организации, преимущественно из госсектора. Злоумышленники применяют большие языковые модели для модификации вредоносных скриптов, инструментов и их названий под конкретные цели. Об этом «Газете.Ru» рассказали в пресс-службе «Лаборатории Касперского».
Специалисты отмечают, что активность Leek Likho продолжается с 2025 года. Группа регулярно меняет инфраструктуру, методы маскировки и вредоносные скрипты, однако общая схема атак остается прежней. Основной упор злоумышленники делают на социальную инженерию, многоступенчатую загрузку вредоносного ПО и использование легитимных инструментов, включая rclone. Также особенностью группы называют применение Tor и SSH для соединения с управляющими серверами.
Атаки начинаются через мессенджер Telegram, где жертвам отправляют ссылки, замаскированные под страницы загрузки файлов Telegram или файлообменник Dropbox. После перехода пользователь скачивает архив с вредоносным содержимым. Внутри находится LNK-файл с двойным расширением, например Proekt_prikaza_681_o_pooshchrenii.pdf.lnk, который при распаковке стандартными средствами Windows отображается как обычный PDF-документ. В архиве также содержатся вредоносные инструменты, замаскированные под популярные приложения для работы с базами данных.
После открытия файла запускается цепочка заражения, в ходе которой данные с устройства собираются и отправляются злоумышленникам через сервис rclone. Для каждой новой цели хакеры создают отдельные LNK-файлы с измененными названиями, где обычно меняется только номер «приказа». Кроме того, каждый раз варьируется содержимое второго архива: вредоносные инструменты получают новые имена, а скрипты меняются даже при выполнении одинаковых действий. По оценке исследователей, это указывает на активное использование ИИ для генерации вредоносного кода и маскировки атак.
В «Лаборатории Касперского» подчеркнули, что злоумышленники все чаще используют ИИ для создания уникальных вариантов вредоносных скриптов. Каждый такой файл может выступать идентификатором конкретной жертвы и помогать атакующим отслеживать зараженные устройства. Исследователи считают, что в подобных условиях особую важность приобретает поведенческий анализ угроз.
Ранее хакеры украли чертежи гаджетов и документы Apple, Google и Nvidia.