BI.Zone сообщает, что хактивисты из группировки Forbidden Hyena применяют искусственный интеллект для нападений на российские организации. С его помощью они создают свои вредоносные инструменты. Подобные случаи пока редки: в 2025 году доля атак с использованием ИИ против российских компаний составляла менее 1%.
Хактивистское объединение Forbidden Hyena впервые проявило себя в начале 2025 года. Его главными мишенями являются российские государственные органы, а также предприятия из областей здравоохранения, энергетики, машиностроения, торговли и ЖКХ.
Эксперты BI.Zone Threat Intelligence обнаружили командный сервер группировки, где находились скрипты с явными признаками генерации искусственным интеллектом. Среди них были два PowerShell-скрипта: один для закрепления в системе, а другой — для установки на устройство жертвы программы удаленного доступа AnyDesk. Также был найден Bash-скрипт для загрузки и запуска замаскированного импланта Sliver — инструмента, изначально созданного для тестирования на проникновение.
Олег Скулкин, руководитель BI.Zone Threat Intelligence, отметил: «Использование искусственного интеллекта для генерации этих скриптов заметно по характерным особенностям кода. В частности, это присутствие отладочных строк и множества детальных комментариев, понятные имена переменных, а также отсутствие обфускации — специальных приемов для запутывания кода, которые обычно применяют злоумышленники при самостоятельной разработке. Этот пример показывает, что на текущий момент решения, предлагаемые атакующим ИИ, довольно стандартны и просты. Однако набирающий силу тренд на использование ИИ в качестве оружия будет лишь усиливаться. Со временем подобных атак станет больше, и они будут более сложными и изощренными».
Согласно плану злоумышленников, в результате атаки на компьютер жертвы должен был быть загружен ранее неизвестный троян удаленного доступа BlackReaperRAT, позволяющий тайно управлять скомпрометированным устройством. Конечной целью было шифрование инфраструктуры и последующее требование выкупа. Для этого преступники использовали обновленную версию шифровальщика Blackout Locker, переименовав его в Milkyway. Это отражает тенденцию, проявившуюся во второй половине 2025 года: доля атак, совершаемых по идеологическим причинам, снизилась (с 20% в первом полугодии до 12% во втором), а хактивистские группы все чаще сочетают такие операции с классическим вымогательством.
Ранее эксперты BI.Zone представили прогнозы развития угроз в исследовании Threat Zone 2026. Помимо растущего использования ИИ как атакующими, так и защитниками, к ключевым трендам отнесли увеличение доли атак, начинающихся с фишинговых писем, а также растущую популярность Telegram среди злоумышленников как средства связи с командными серверами.
