Несколько новых семейств вредоносных программ используют большие языковые модели (LLM) для хакерских атак, свидетельствуют результаты исследования Google.
В отчете Google Threat Intelligence Group (GTIG) говорится, что команде экспертов удалось отследить как минимум пять различных штаммов ПО с поддержкой ИИ. Некоторые из них уже применяются в атаках.
Выявленные семейства программного обеспечения динамически генерируют вредоносные скрипты, запутывают собственный код для уклонения от обнаружения, а также применяют ИИ-модели для создания зловредных функций в зависимости от ситуации вместо того, чтобы жестко прописывать их заранее.
Новая техника отлична от традиционного подхода в разработке мошеннических программ, при котором логика ПО изначально зашита в двоичном коде.
Благодаря передаче части функций искусственному интеллекту программное обеспечение может постоянно вносить изменения для укрепления защиты от систем сдерживания.
В техническом описании GTIG рассказали, что семейство PROMPTFLUX запускает процесс Thinking Robot, который каждый час вызывает API Gemini для перезаписи собственного кода VBScript. PROMPTSTEAL, связанное с российской группой APT28, использует модель Qwen для генерации команд Windows по запросу.
Аналитикам удалось обнаружить деятельность северокорейской группы UNC1069 (Masan), которая злоупотребляла Gemini. Они известны проведением кампаний по краже криптовалют с применением социальной инженерии.
Запросы к ИИ от Google включали инструкции по поиску данных приложения кошелька, генерации скриптов для доступа к зашифрованному хранилищу и составлению многоязычного фишингового контента, направленного на сотрудников криптовалютных бирж.
Не новое
Применение искусственного интеллекта хакерами — давняя проблема.
В феврале 2024 года стало известно об использовании ИИ мошенниками из КНДР для реализации вредоносных схем и взломов. Представитель разведки Южной Кореи заявил, что злоумышленники из соседней страны задействуют генеративный искусственный интеллект для обмана и компрометации сотрудников службы безопасности.
В июне 2025 года ИИ-инструмент Xbow от одноименной компании возглавил таблицу белых хакеров, которые обнаружили и сообщили о наибольшем количестве уязвимостей в ПО крупных компаний. Xbow помог выявить изъяны в системах Amazon, Disney, PayPal, Sony Group Corporation.
В октябре криптограф Mysten Labs Костас Халкиас предупредил, что хакеры из Северной Кореи внедряют искусственный интеллект во все этапы кибератак — от фишинга до отмывания средств. По его словам, ИИ стал более серьезной угрозой для криптовалют, чем квантовые вычисления.
«Нейросети — лучший инструмент, который когда-либо был у меня как у белого хакера. И вы можете представить, что происходит, когда он попадает не в те руки», — сказал эксперт.
Он добавил, что группировки вроде Lazarus используют LLM для автоматического сканирования тысяч смарт-контрактов.
Напомним, в сентябре эксперты обнаружили на теневых форумах новый ИИ-инструмент для автоматизации атак на электронную почту под названием SpamGPT. Его рекламируют как «революцию» для киберпреступников.
