Группировка Leek Likho начала использовать ИИ для настройки кибератак

В 2026 году группа хакеров Leek Likho использовала ИИ в кибератаках на организации, преимущественно из госсектора, сообщается в новом отчете «Лаборатории Касперского». Технический анализ вредоносной активности показал, что злоумышленники могут применять большие языковые модели для модификации вредоносных скриптов и других инструментов, а также их названий под разные цели.

Кампании группы остаются активными и устойчивыми с 2025 года за счёт постоянных изменений инфраструктуры, скриптов и методов маскировки вредоносного ПО. Несмотря на развитие тактик, общая схема атак остаётся прежней: злоумышленники делают основной упор на сочетании социальной инженерии, многоступенчатой загрузки и легитимных инструментов, таких как rclone. Особенность группы — использование Tor и SSH для соединения с управляющим сервером.

Злоумышленники по-прежнему получают доступ, используя схемы социальной инженерии в Telegram. Они маскируют доставку вредоносного содержимого под легитимные файлообменные механизмы, например ссылки, имитирующие страницы загрузки файлов в Telegram. В некоторых случаях присылают ссылку на файлообменник Dropbox. Переход по ним приводит к скачиванию вредоносного архива.  Внутри находится вредоносный LNK-файл с двойным расширением. Однако при распаковке через стандартное приложение Windows он выглядит как обычный служебный PDF-документ, например приказ о поощрении или назначении. Там же содержится еще один архив — с вредоносными инструментами, замаскированными под популярные приложения, в частности для работы с базами данных. Открытие LNK-файла запускает цепочку заражения, в ходе которой данные с устройства собираются и отправляются злоумышленникам с помощью rclone — легитимного сервиса для работы с облачными хранилищами.

Для каждой цели злоумышленники используют в качестве приманки отдельный файл-ярлык (LNK) с новым именем. Однако названия файлов отличаются незначительно: например, меняется только номер «приказа». В кибератаках отличается и содержимое второго архива: вредоносные инструменты в нём каждый раз получают новые имена, похожие на названия известных приложений. Вредоносные скрипты, то есть код, который управляет заражённой машиной, также варьируются. Например, иногда одни и те же действия выполняются по-разному, а в код могут добавляться лишние операции, которые ни на что не влияют. Всё это говорит о том, что Leek Likho может активно использовать ИИ для генерации как вредоносных скриптов, так и их названий. Подобным образом группа пытается снизить эффективность детектирования и усложнить поиск своих инструментов в системе.

Фото из открытых источников