Хактивисты Forbidden Hyena начали применять ИИ для атак на российские компании
Хактивистский кластер Forbidden Hyena, атакующий российские организации, использует искусственный интеллект для создания вредоносных скриптов, сообщили специалисты BI.ZONE Threat Intelligence.
Группировка, впервые заявившая о себе в начале 2025 года, нацелена на органы госуправления, а также компании из сфер энергетики, здравоохранения, ритейла и ЖКХ. В ходе анализа инфраструктуры злоумышленников эксперты обнаружили их командный сервер, на котором хранились скрипты с признаками ИИ-генерации.
Среди найденных образцов оказались два PowerShell-скрипта: один предназначен для закрепления в системе, другой — для установки легитимного ПО удаленного доступа AnyDesk на устройство жертвы. Также был обнаружен Bash-скрипт для загрузки и запуска обфусцированного импланта Sliver — инструмента для пентестов, используемого в вредоносных целях.
По данным компании, использование нейросетей при написании кода выдают характерные особенности: наличие отладочных строк и подробных комментариев, понятные имена переменных и отсутствие обфускации, специальных методов запутывания кода, которые обычно используют злоумышленники при самостоятельной разработке инструментов.
В ходе атаки на компьютер жертвы планировалось загрузить новый троян удаленного доступа BlackReaperRAT, который позволял бы скрыто управлять устройством. Конечной целью злоумышленников являлось шифрование инфраструктуры с помощью обновленной версии шифровальщика Blackout Locker (переименованного в Milkyway) и последующее требование выкупа.
Эксперты также обращают внимание на тренд, наметившийся во втором полугодии 2025 года: хактивистские группы все чаще совмещают идеологически мотивированные атаки с классическим вымогательством.
Читайте также
