В 2026 году группа хакеров Leek Likho использовала ИИ в кибератаках на организации РФ, преимущественно из госсектора, сообщается в новом отчёте «Лаборатории Касперского». Технический анализ вредоносной активности показал, что злоумышленники могут применять большие языковые модели для модификации вредоносных скриптов и других инструментов, а также их названий под разные цели.
Что известно о Leek Likho. Кампании группы остаются активными и устойчивыми с 2025 года за счёт постоянных изменений инфраструктуры, скриптов и методов маскировки вредоносного ПО. Несмотря на развитие тактик, общая схема атак остаётся прежней: злоумышленники делают основной упор на сочетании социальной инженерии, многоступенчатой загрузки и легитимных инструментов, таких как rclone. Особенность группы — использование Tor и SSH для соединения с управляющим сервером.
Как происходит атака. Злоумышленники по-прежнему получают доступ, используя схемы социальной инженерии в Telegram. Они маскируют доставку вредоносного содержимого под легитимные файлообменные механизмы, например ссылки, имитирующие страницы загрузки файлов в Telegram. В некоторых случаях присылают ссылку на файлообменник Dropbox. Переход по ним приводит к скачиванию вредоносного архива. Внутри находится вредоносный LNK-файл с двойным расширением pdf.lnk наподобие Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. Однако при распаковке через стандартное приложение Windows он выглядит как обычный служебный PDF-документ, например приказ о поощрении или назначении. Там же содержится ещё один архив — с вредоносными инструментами, замаскированными под популярные приложения, в частности для работы с базами данных. Открытие LNK-файла запускает цепочку заражения, в ходе которой данные с устройства собираются и отправляются злоумышленникам с помощью rclone — легитимного сервиса для работы с облачными хранилищами.
Генерация вредоносных инструментов с помощью ИИ. Для каждой цели злоумышленники используют в качестве приманки отдельный файл-ярлык (LNK) с новым именем. Однако названия файлов отличаются незначительно: например, меняется только номер «приказа». В кибератаках отличается и содержимое второго архива: вредоносные инструменты в нём каждый раз получают новые имена, похожие на названия известных приложений. Вредоносные скрипты, то есть код, который управляет заражённой машиной, также варьируются. Например, иногда одни и те же действия выполняются по-разному, а в код могут добавляться лишние операции, которые ни на что не влияют. Всё это говорит о том, что Leek Likho может активно использовать ИИ для генерации как вредоносных скриптов, так и их названий. Подобным образом группа пытается снизить эффективность детектирования и усложнить поиск своих инструментов в системе.
Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают данную вредоносную активность.
Подробный отчёт о группировке Leek Likho опубликован на Securelist.ru.
Эксперты «Лаборатории Касперского» продолжают отслеживать активность Leek Likho и для защиты от этой киберугрозы рекомендуют организациям:
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
- применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности;
- обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на онлайн-платформе Kaspersky Automated Security Awareness Platform.
Источник: пресс-служба «Лаборатории Касперского»
