Хакеры на госслужбе используют ИИ для проведения продвинутых кибератак

Согласно новому отчету Группы анализа угроз Google (GTIG), поддерживаемые государством хакеры используют искусственный интеллект для ускорения кибератак.

Злоумышленники из Ирана, Северной Кореи, Китая и России превращают такие модели, как Gemini от Google, в оружие для создания сложных фишинговых кампаний и разработки вредоносного ПО.

Опубликованный ежеквартальный отчет «Отслеживание угроз, связанных с ИИ» (AI Threat Tracker) раскрывает, как в четвертом квартале 2025 года кибергруппировки, работающие под эгидой правительств, интегрировали искусственный интеллект на всех этапах цикла атаки, добившись значительного повышения эффективности в разведке, социальной инженерии и разработке вредоносных программ.

— Для угроз, поддерживаемых на государственном уровне, большие языковые модели (LLM) стали незаменимыми инструментами. Они используются для технических исследований, определения целей и быстрой генерации тонко проработанных фишинговых приманок, — заявили исследователи GTIG в своем отчете.

ИИ-разведка государственных хакеров нацелена на оборонный сектор

Иранская группировка APT42 использовала Gemini для усиления разведки и операций целевой социальной инженерии. Хакеры злоупотребляли возможностями ИИ-модели для сбора официальных электронных адресов конкретных организаций и проведения исследований, необходимых для создания убедительных предлогов при контакте с жертвами.

Загружая в Gemini биографию цели, APT42 создавала фальшивые личности и сценарии, призванные вовлечь жертву в диалог. Группировка также использовала ИИ для перевода и лучшего понимания неродных для них фраз — эти возможности помогают государственным хакерам обходить традиционные признаки фишинга, такие как плохая грамматика или неуклюжий синтаксис.

Северокорейская группа UNC2970, также поддерживаемая правительством, специализируется на атаках в оборонном секторе и выдает себя за корпоративных рекрутеров. Они использовали Gemini для синтеза данных из открытых источников (OSINT) и составления профилей приоритетных целей. Разведка группы включала поиск информации о крупных компаниях в сфере кибербезопасности и обороны, составление карт конкретных технических вакансий и сбор данных о зарплатах.

— Эта деятельность стирает грань между обычным профессиональным исследованием и вредоносной разведкой, поскольку злоумышленники собирают необходимые компоненты для создания персонализированных, высокоточных фишинговых образов, — отмечают в GTIG.

Всплеск атак по «извлечению моделей»

Помимо оперативного злоупотребления, Google DeepMind и GTIG зафиксировали рост попыток извлечения моделей (известных также как «атаки дистилляции»), направленных на кражу интеллектуальной собственности, заложенной в ИИ.

Одна из кампаний, нацеленная на логические способности Gemini, включала более 100 000 запросов, призванных заставить модель выдать полные цепочки своих рассуждений. Широта вопросов указывала на попытку воспроизвести способность Gemini к рассуждению на целевых языках (отличных от английского) для выполнения различных задач.

Хотя GTIG не зафиксировала прямых атак на передовые модели (frontier models) со стороны продвинутых хакерских группировок (APT), команда выявила и пресекла частые попытки извлечения моделей со стороны частных структур по всему миру, а также исследователей, стремящихся клонировать проприетарную логику. Системы Google распознавали эти атаки в реальном времени и развертывали защиту для сохранения внутренней логики работы ИИ.

Появление вредоносного ПО с интегрированным ИИ

GTIG обнаружила образцы вредоносного ПО, отслеживаемого под названием HONESTCUE, которое использует API Gemini для аутсорсинга генерации функционала. Эта программа разработана для обхода традиционных средств сетевого обнаружения и статического анализа с помощью многоуровневого подхода к запутыванию кода (обфускации).

HONESTCUE работает как фреймворк-загрузчик: он отправляет запросы через API Gemini и получает в ответ исходный код на C#. Вторая стадия атаки является бесфайловой — полезная нагрузка компилируется и выполняется непосредственно в оперативной памяти, не оставляя следов на жестком диске.

Отдельно GTIG идентифицировала COINBAIT — фишинговый набор, создание которого, вероятно, было ускорено инструментами генерации кода на базе ИИ. Этот набор, маскирующийся под крупную криптовалютную биржу для кражи учетных данных, был создан с использованием ИИ-платформы Lovable AI.

Кампании ClickFix злоупотребляют платформами ИИ-чатов

В новой кампании социальной инженерии, впервые замеченной в декабре 2025 года, Google зафиксировала, как злоумышленники использовали функции публичного обмена ссылками генеративных ИИ-сервисов (включая Gemini, ChatGPT, Copilot, DeepSeek и Grok) для размещения обманного контента, распространяющего вредоносное ПО ATOMIC для macOS.

Атакующие манипулировали ИИ-моделями, заставляя их создавать реалистично выглядящие инструкции для решения обычных компьютерных задач, внедряя вредоносные скрипты командной строки в качестве «решения». Создавая общедоступные ссылки на эти переписки с чат-ботами, хакеры использовали доверенные домены для размещения начальной стадии своей атаки.

Теневой рынок процветает на краденых API-ключах

Наблюдения GTIG за англо- и русскоязычными теневыми форумами свидетельствуют о устойчивом спросе на инструменты и услуги с поддержкой ИИ. Однако государственные хакеры и киберпреступники испытывают трудности с разработкой собственных ИИ-моделей, полагаясь вместо этого на зрелые коммерческие продукты, доступ к которым осуществляется через украденные учетные данные.

Один из таких инструментов, «Xanthorox», рекламировался как кастомный ИИ для автономной генерации вредоносного ПО и разработки фишинговых кампаний. Расследование GTIG показало, что Xanthorox был не уникальной моделью, а надстройкой, работающей на базе нескольких коммерческих ИИ-продуктов, включая Gemini, доступ к которым обеспечивался через украденные ключи API.

Ответные меры и защита Google

Google предприняла меры против выявленных злоумышленников, отключив аккаунты и ресурсы, связанные с вредоносной деятельностью. Компания также применила полученные разведданные для усиления классификаторов и моделей, позволив им в будущем отказывать в помощи при попытках подобных атак.

— Мы стремимся развивать ИИ смело и ответственно. Это означает принятие упреждающих мер для пресечения вредоносной активности путем отключения проектов и аккаунтов злоумышленников, а также постоянное совершенствование наших моделей, чтобы сделать их менее восприимчивыми к злоупотреблениям, — говорится в отчете.

В GTIG подчеркнули: несмотря на эти события, ни одна APT-группировка или организаторы информационных операций пока не достигли прорывных возможностей, которые фундаментально изменили бы ландшафт угроз.

Результаты отчета подчеркивают меняющуюся роль ИИ в кибербезопасности, поскольку и защитники, и атакующие соревнуются в использовании возможностей этой технологии.

Для служб безопасности предприятий, особенно в Азиатско-Тихоокеанском регионе, где активны китайские и северокорейские хакеры, этот отчет служит важным напоминанием о необходимости усиления защиты от операций разведки и социальной инженерии, усиленных искусственным интеллектом.

Ключевые термины и понятия

1. APT (Advanced Persistent Threat) — «продвинутая постоянная угроза». Термин обозначает высококвалифицированные хакерские группировки (как правило, действующие при поддержке государств), которые проводят длительные, целенаправленные атаки против конкретных организаций или секторов. Номера (APT42 и т. д.) присваиваются исследовательскими компаниями для отслеживания и классификации.
2. Фишинг — вид мошенничества, при котором злоумышленники выдают себя за доверенных лиц или организации (через электронную почту, веб-сайты, мессенджеры) с целью выманить у жертвы конфиденциальные данные: пароли, номера банковских карт, учётные данные. Социальная инженерия — более широкий термин для методов психологической манипуляции, побуждающих человека совершить нужные атакующему действия.
3. Дистилляция (извлечение) модели — техника, при которой атакующий отправляет модели большое количество тщательно подобранных запросов и на основе ответов воссоздаёт (клонирует) её логику и возможности в собственной модели. По сути, это кража интеллектуальной собственности разработчика ИИ.
4. Обфускация — намеренное затруднение анализа кода вредоносного ПО: запутывание, шифрование, многослойная упаковка — всё, что мешает антивирусам и аналитикам понять, что именно делает программа.
5. Бесфайловая атака (fileless attack) — атака, при которой вредоносный код исполняется непосредственно в оперативной памяти, не записывая файлы на диск. Это существенно затрудняет обнаружение традиционными антивирусными средствами.
6. ClickFix — относительно новая техника социальной инженерии, при которой жертве предлагают «решить проблему» с компьютером, скопировав и выполнив команду в терминале. Команда при этом является вредоносной.
7. API-ключ — уникальный идентификатор, позволяющий программному обеспечению аутентифицироваться при обращении к API (программному интерфейсу) сервиса. Кража API-ключей позволяет злоумышленникам пользоваться платными ИИ-сервисами за счёт законных владельцев.

О группировках, упомянутых в статье

• APT42 (Иран) — связана с Корпусом стражей исламской революции (КСИР). Специализируется на сборе разведданных, слежке за диссидентами и атаках на организации, представляющие стратегический интерес для Ирана.
• UNC2970 (Северная Корея) — связана с группой Lazarus. Известна кампаниями по вербовке специалистов оборонного сектора через поддельные предложения о работе. Северокорейские хакерские группы также занимаются кражей криптовалюты для финансирования режима.

Рекомендации по защите

• Для организаций: внедрять многофакторную аутентификацию, проводить регулярное обучение сотрудников распознаванию фишинга (особенно с учётом того, что ИИ позволяет создавать безупречные с языковой точки зрения письма), мониторить использование API-ключей и своевременно ротировать их.
• Для частных пользователей: критически относиться к любым инструкциям из ИИ-чатов, предлагающим выполнить команды в терминале; проверять подлинность ссылок, даже если они ведут на известные домены; использовать менеджеры паролей и двухфакторную аутентификацию.