Leek Likho начала использовать ИИ для модификации вредоносов в атаках на российский госсектор
Хакерская группировка Leek Likho начала использовать ИИ в кибератаках на российский госсектор. С помощью LLM злоумышленники модифицируют вредоносные скрипты и другие инструменты, следует из отчета «Лаборатории Касперского», предоставленного SecPost.
Leek Likho (также известная как SkyCloak или Vortex Werewolf) впервые была описана исследователями в 2025 году — известность группировке принесла серия целевых атак на госсектор России и Беларуси. Кампании группировки остаются активными и устойчивыми за счет постоянных изменений инфраструктуры, скриптов и методов маскировки ВПО, пишут в «Лаборатории Касперского». При этом сохраняется почерк: злоумышленники делают основной упор на сочетание социальной инженерии, многоступенчатой загрузки и легитимных инструментов вроде rclone. Другая особенность группировки — использование Tor и SSH для соединения с управляющим сервером.
Злоумышленники получают доступ, используя схемы социнженерии в Telegram. Доставка вредоноса маскируется под легитимные файлообменные механизмы, вроде ссылок, имитирующих страницы загрузки файлов в Telegram. В некоторых случаях атака происходит через ссылку на файлообменник Dropbox.
Переходя по ссылке, жертва скачивает вредоносный архив. Внутри него оказывается вредоносный LNK-файл с двойным расширением .pdf.lnk, наподобие «Proekt_prikaza_681_o_pooshchrenii.pdf.lnk». При распаковке через стандартное приложение файл выглядит как обычный служебный PDF-документ. Но там же содержится еще один архив с вредоносными инструментами, замаскированными под популярные приложения для работы с базами данных.
«Открытие LNK-файла запускает цепочку заражения, в ходе которой данные с устройства собираются и отправляются злоумышленникам с помощью rclone — легитимного сервиса для работы с облачными хранилищами», — поясняют исследователи.
Исследователи из «Лаборатории Касперского» отмечают, что для каждой жертвы злоумышленники создают новый вредоносный файл первого этапа заражения, для этого используются уникальные имена. Аналитики наблюдали различные шаблонные именования файлов-приманок. Также в каждой сборке скрипты получают уникальные изменения — они не подвергаются обфускации, имена переменных выглядят читаемо, хотя и не отражают смысл содержащихся значений.
«Таким подходом группировка пытается снизить эффективность детектирования и усложнить поиск своих инструментов в системе», — заключают исследователи.
