В 2026 году хакерское объединение Leek Likho применило искусственный интеллект для проведения кибератак на российские организации, в основном относящиеся к государственному сектору. Об этом говорится в свежем докладе «Лаборатории Касперского». Технический разбор вредоносной активности продемонстрировал, что злоумышленники способны задействовать большие языковые модели для адаптации вредоносных скриптов и прочих инструментов, а также для изменения их наименований под конкретные задачи.
Что установлено о Leek Likho. Кампании данной группировки продолжают оставаться действенными и стабильными начиная с 2025 года благодаря регулярному обновлению инфраструктуры, скриптов и способов маскировки вредоносного ПО. Несмотря на эволюцию тактик, базовая схема атак не изменилась: киберпреступники по-прежнему делают ставку на комбинацию социальной инженерии, поэтапной загрузки и легальных утилит, включая rclone. Отличительной чертой группы является применение Tor и SSH для связи с командным сервером.
Как реализуется атака. Злоумышленники по-прежнему проникают в системы через методы социальной инженерии в Telegram. Они прячут доставку вредоносного контента под видом легитимных файлообменных сервисов, например, используя ссылки, которые имитируют страницы загрузки файлов в Telegram. В отдельных случаях жертвам отправляют ссылку на облачный сервис Dropbox. Переход по таким ссылкам ведёт к загрузке вредоносного архива. Внутри него находится LNK-файл с двойным расширением pdf.lnk, например Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. Однако при извлечении через стандартное средство Windows он отображается как обычный служебный PDF-документ, к примеру приказ о поощрении или назначении. В архиве также присутствует ещё один файл — с вредоносными утилитами, замаскированными под популярные программы, в частности для работы с базами данных. Открытие LNK-файла запускает процесс заражения, в ходе которого данные с устройства собираются и передаются злоумышленникам посредством rclone — законного сервиса для взаимодействия с облачными хранилищами.
Генерация вредоносных инструментов с помощью ИИ. Для каждой цели киберпреступники применяют отдельный файл-ярлык (LNK) с уникальным именем в качестве приманки. Однако названия файлов различаются несущественно: например, меняется лишь номер «приказа». В кибератаках также варьируется содержимое второго архива: вредоносные утилиты в нём каждый раз получают новые имена, напоминающие названия известных приложений. Вредоносные скрипты, то есть код, управляющий заражённым устройством, тоже меняются. К примеру, иногда одни и те же операции выполняются разными способами, а в код могут добавляться избыточные действия, не влияющие на результат. Всё это указывает на то, что Leek Likho, вероятно, активно использует ИИ для создания как вредоносных скриптов, так и их наименований. Таким образом группа пытается снизить эффективность обнаружения и затруднить поиск своих инструментов в системе.
Защитные продукты «Лаборатории Касперского», включая Kaspersky Endpoint Detection and Response Expert, выявляют данную вредоносную активность.
Полный отчёт о группировке Leek Likho доступен на сайте Securelist.ru.
Специалисты «Лаборатории Касперского» постоянно следят за действиями группировки Leek Likho и для защиты от данной киберугрозы советуют компаниям: обеспечивать специалистам по кибербезопасности доступ к актуальным данным о современных методах, приемах и процедурах, используемых злоумышленниками, в том числе через сервисы Threat Intelligence; внедрять многофункциональные защитные продукты, например, Kaspersky Symphony, которые помогут создать гибкую и результативную систему безопасности; повышать уровень цифровой грамотности сотрудников. Для этого подойдут профильные курсы или тренинги, такие как те, что доступны на онлайн-платформе Kaspersky Automated Security Awareness Platform.
