Человек против ИИ: анализ эволюции React2Shell полезных нагрузок

Недавний анализ более 50 000 уникальных полезных нагрузок React2Shell выявил заметные закономерности в их создании и выполнении, особенно подчеркнув потенциальное пересечение человеческого мастерства и Искусственного интеллекта при разработке вредоносного ПО. В отчёте выделяется одна конкретная полезная нагрузка, отличавшаяся своей сложностью и изощрённостью — признак опытного оператора Linux‑вредоносного ПО, а не типичного кода, ожидаемого от AI‑generated решений.

Ключевые наблюдения

• Одна полезная нагрузка выглядит как результат органичной, многоэтапной разработки, включающей разные методы, отточенные на опыте.
• Одновременно в ней прослеживаются признаки гибрида: человеческая изобретательность сочетается с ошибками, типичными для инструментов искусственного интеллекта.
• Механизм доставки полезной нагрузки содержит особенности, которые предполагают возможное использование AI‑инструментов, что привело к ошибкам в реализации.
• Подавляющее большинство наблюдаемых полезных нагрузок приписывается создателям‑людям, использующим традиционные методы разработки и хорошо документированные шаблонные движки.

Случай сложной полезной нагрузки: признаки человека и ИИ

Анализ указывает, что основные элементы данной полезной нагрузки демонстрируют глубокое понимание развертывания вредоносного ПО, однако механизм доставки содержит явные дефекты. В частности, отмечено использование строк JavaScript в одинарных кавычках, которые не могут содержать буквальные переводы строк — это серьёзно затрудняло функционирование полезной нагрузки и делало её неэффективной при попытках поразить целевые объекты.

Кто автор — исследователь или злоумышленник?

Расследование предположило, что этот конкретный код, скорее всего, создан исследователем безопасности или охотником за ошибками. Целью было продемонстрировать значительное воздействие RCE безопасным способом, используя доступные методы проверки концепции и не нанося вреда системам жертвы.

«Этот подход включал в себя использование Next.js обработки ошибок, позволяющую получать неразрушающую обратную связь, которая служит «доказательством скриншота» для целей отчётности о вознаграждении, не ставя под угрозу целостность сервера и не оставляя отслеживаемого вредоносного ПО.»

Роль ИИ в разработке полезных нагрузок — преувеличение или реальность?

Несмотря на часто встречающиеся спекулятивные рассказы о роли ИИ в киберугрозах, в анализе делается вывод о том, что ИИ ещё не получил значительного распространения в разработке оппортунистических атак с первоначальным доступом, особенно в части создания эффективных полезных нагрузок. Подавляющее большинство наблюдаемых полезных нагрузок было приписано людям, которые интегрировали установленные шаблонные движки и проверенные методы разработки.

Вывод

Исследование подчёркивает сохраняющееся доминирование человеческого опыта в создании киберугроз: хотя инструменты ИИ могут участвовать в отдельных этапах разработки и вносить характерные ошибки, ключевые, сложные и действенные элементы вредоносных полезных нагрузок по‑прежнему являются результатом подготовки и мастерства людей. В то же время анализ демонстрирует, что сочетание человеческой изобретательности и ограничений AI‑генерации может приводить к уникальным гибридным артефактам — как эффективным, так и ошибочным.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.