Хактивисты Forbidden Hyena используют ИИ для атак на российские компании

С его помощью злоумышленники разрабатывают свои инструменты. Это редкий случай: в 2025 году доля атак на российские компании с использованием ИИ не превышала 1%.

Хактивистский кластер Forbidden Hyena впервые заявил о себе в начале 2025 года. Его основные цели — российские органы государственного управления, а также организации из сфер здравоохранения, энергетики, инженерии, ритейла и коммунального хозяйства.

Специалисты BI.ZONE Threat Intelligence обнаружили командный сервер группировки, на котором были найдены скрипты с явными признаками ИИ-генерации. Среди них были два PowerShell-скрипта, один из которых предназначался для закрепления в системе, а другой — для установки на устройство жертвы ПО для удаленного доступа AnyDesk. Еще один Bash-скрипт предназначался для загрузки и запуска обфусцированного импланта Sliver — инструмента, изначально предназначенного для пентеста.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «То, что для генерации этих скриптов использовался искусственный интеллект, видно по некоторым особенностям кода. Среди прочего, это наличие в нем отладочных строк и большого количества подробных комментариев, понятные названия переменных и отсутствие обфускации, то есть специальных методов запутывания кода, которые обычно используют злоумышленники при самостоятельной разработке инструментов. Этот пример подтверждает, что на сегодняшний день решения, которые предлагает атакующим искусственный интеллект, довольно шаблонны и примитивны. Однако наметившийся тренд на вепонизацию ИИ будет только усиливаться. Со временем таких атак станет больше, и они будут сложнее и изощреннее».

По плану злоумышленников в ходе атаки на компьютер жертвы должен был загрузиться ранее неизвестный троян удаленного доступа BlackReaperRAT, который позволял атакующим скрыто управлять скомпрометированным устройством. Конечной целью было шифрование инфраструктуры и требование выкупа. Для этого преступники использовали обновленную версию шифровальщика Blackout Locker, который они переименовали в Milkyway. Это иллюстрирует тренд, наметившийся во втором полугодии 2025 года: доля атак, совершаемых по идеологическим мотивам, снизилась (с 20% в первой половине года до 12% во второй), а хактивистские кластеры все чаще совмещают такие атаки с классическим вымогательством.

Ранее специалисты BI.ZONE поделились прогнозами по развитию ландшафта угроз в исследовании Threat Zone 2026. Помимо все более активного использования ИИ как атакующими, так и защитниками, в число ключевых трендов вошло увеличение доли атак, начинающихся с фишингового письма, а также растущая популярность Telegram у злоумышленников в качестве средства для коммуникации с командным сервером.