Группировка Leek Likho начала использовать ИИ для настройки кибератак

Группировка Leek Likho начала использовать ИИ для «настройки» кибератак

В 2026 году группа Leek Likho применяла ИИ в атаках на российские организации, прежде всего госсектор, сообщили в «Лаборатории Касперского». Злоумышленники используют большие языковые модели для модификации вредоносных скриптов и названий инструментов, чтобы обходить защиту.

Атаки строятся на социальной инженерии в Telegram: жертвам приходят ссылки, имитирующие файлообменник, которые ведут к скачиванию архива с LNK-файлом. При запуске запускается цепочка заражения - данные с устройства собираются и отправляются через легитимный сервис rclone, а для связи с управляющим сервером используются Tor и SSH.

Инфраструктура группы и методы маскировки постоянно меняются - названия файлов, скрипты и даже способы выполнения команд варьируются, генерируясь при помощи ИИ. Это снижает эффективность детектирования и позволяет Leek Likho оставаться устойчивой угрозой с 2025 года.

#news
@tnvst_ru