Анализ трояна Pickai: угроза безопасности ИИ и сети снабжения

В сфере кибербезопасности выявлена новая угроза — троян-бэкдор под названием Pickai, или «AI pickpocket». Этот вредоносный софт использует уязвимости в приложении ComfyUI и распространяется через конфигурационные файлы, выглядящие безобидно, такие как JSON и TMUX. Опасность Pickai заключается в краже конфиденциальных данных, связанных с искусственным интеллектом, а также в его сложных механизмах маскировки и устойчивости на заражённых хостах.

Особенности вредоносного ПО Pickai

Разработанный на C++, Pickai обладает следующими ключевыми характеристиками:

• Возможность удалённого выполнения команд и установка «оболочек восстановления» (shells), что повышает контроль злоумышленников над заражённой системой.
• Использование различных методов защиты от отладки, а также маскировка процессов для затруднения обнаружения.
• Внедрение сразу нескольких серверов управления (C2) с целью избыточности — управление сохраняется даже при отключении некоторых серверов.
• Распространение посредством конфигурационных файлов, которые, как правило, не вызывают подозрений у пользователей.

Анализ и география заражений

Обратный анализ кода показал, что изначально домен C2 h67t48ehfth8e.com был незарегистрирован. Позже исследователи безопасности приобрели этот домен, что позволило мониторить активность Pickai и собрать подробную статистику. По имеющимся данным, число заражённых серверов приближается к 700 — преимущественно в таких странах, как Германия, США и Китай.

Кроме того, троян подвергался обновлениям. В одной из последних версий использовался сервер C2 с IP-адресом 78.47.151.49. Это свидетельствует о постоянной эволюции вредоносного ПО и адаптации его инфраструктуры для обхода мер защиты.

Реакция и последствия

Известная охранная компания XLab предприняла попытки уведомить платформу Rubick.ai, на которой предположительно размещался Pickai, однако ответа получить не удалось. С учётом широкого применения Rubick.ai в электронной коммерции, обнаружение образцов Pickai в мае 2025 года вызвало серьёзные опасения о возможных атаках на цепочки поставок.

Технические детали работы Pickai

Вредоносное ПО использует следующий алгоритм действий:

• При запуске Pickai расшифровывает свои конфигурационные строки для установления связи с сервером C2 и активации механизмов сохранения.
• В Linux-системах вредоносная программа применяет службы init.d и systemd для обеспечения постоянной работы и самовосстановления.
• Механизмы сохранения включают дублирование файлов по нескольким путям и изменение временных меток с привязкой к легитимным системным двоичным файлам, что значительно снижает риск обнаружения.
• Cycle взаимодействия с C2 организован с точным расписанием: отправка информации об устройстве каждые 20 минут и получение инструкций каждые 2 минуты.
• Для усложнения обнаружения используются различные названия процессов и многочисленные параллельные подключения к серверам управления.

Выводы

Pickai демонстрирует высокий уровень технической проработки и продуманности, характерный для атакующих, ориентированных на критические инфраструктуры ИИ. Использование «легитимных» конфигурационных файлов для заражения, многоуровневое маскирование и адаптивные коммуникационные протоколы ставят исследователей и защитников в сложное положение.

Обеспечение защиты от подобных угроз требует заблаговременного мониторинга серверов C2, анализа аномалий в системных процессах и более тесного взаимодействия между поставщиками ПО и специалистами по безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.