СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18 июня
#ИБ#ИИ

ИИ-агенты в кибератаках на банки и госструктуры Латинской Америки

Недавние исследования выявили две заметные кампании киберугроз — SHADOW-AETHER-040 и SHADOW-AETHER-064. Обе используют agentic AI для проведения сложных операций вторжения против государственных и финансовых организаций в Латинской Америке. По оценке исследователей, речь идет о важной эволюции в киберугрозах: ИИ применяется не только для ускорения атак, но и для их автоматизации на всех этапах — от первоначального доступа до эксфильтрации данных.

SHADOW-AETHER-040: атаки на Мексику и использование large language model

SHADOW-AETHER-040, начавшая операции в конце 2025 года, в первую очередь нацеливалась на государственные структуры и финансовый сектор Мексики. Злоумышленники использовали агентный командный интерфейс, чтобы взаимодействовать с large language model и генерировать динамические скрипты и команды для эксплуатации уязвимостей.

После успешного использования weaknesses в целевых средах атакующие развернули web shells, а затем начали перемещение внутри сети, создавая SOCKS5-туннели с помощью инструментов Chisel и Neo-reGeorg. Исследователи также зафиксировали операции управления, при этом слабая OPSEC привела к утечке чувствительных данных о деятельности группы, включая журналы разговоров между операторами и ИИ.

Примечательно, что ИИ-агент использовался не только для генерации команд, но и для документирования рабочих процессов атаки в структурированных Markdown-файлах. В результате была сформирована комплексная база оперативных знаний, которая, по сути, ускоряла и стандартизировала дальнейшие действия злоумышленников.

Отдельного внимания заслуживает новый backdoor под названием implante_http. Он способен выполнять команды и обеспечивать эксфильтрацию данных через WebSocket-каналы, что повышает устойчивость взаимодействия с инфраструктурой управления.

SHADOW-AETHER-064: атаки на Бразилию и схожие тактики

SHADOW-AETHER-064 появилась в апреле 2026 года и нацелилась на финансовые учреждения в Бразилии. Кампания также использовала тактики ProxyChains и туннелирование SOCKS5, что указывает на возможную связь с SHADOW-AETHER-040.

При этом исследователи отмечают важную деталь: операторы были идентифицированы как португалоязычные, тогда как участники SHADOW-AETHER-040 были испаноязычными. Это различие может свидетельствовать о том, что кампании связаны на уровне инструментария и методологии, но не обязательно принадлежат одной и той же группе исполнителей.

В рамках этой кампании были разработаны и применялись два ключевых инструмента:

  • POW — инкапсулирует трафик SOCKS5 в HTTP POST requests;
  • SOCKTZ — инструмент обратного туннелирования на Go, оснащенный функциями для remote command execution.

ИИ как фактор ускорения атак

Обе кампании демонстрируют устойчивый тренд: злоумышленники все активнее используют ИИ-агентов для автоматизации и оптимизации киберопераций. Такие системы позволяют не только создавать custom tooling, но и помогать в навигации по компрометации целевых сетей.

Способность ИИ генерировать команды on the fly существенно снижает зависимость от традиционных инструментов взлома и уменьшает риски обнаружения благодаря уникальному характеру каждого выполнения. Иными словами, атака становится менее шаблонной, а значит — сложнее для сигнатурного обнаружения.

Что это значит для организаций

Несмотря на рост эффективности атак с использованием ИИ, исследователи подчеркивают, что строгие практики безопасности по-прежнему критически важны для снижения рисков. Некоторые среды смогли успешно противостоять обеим кампаниям, что еще раз подтверждает необходимость базовых, но обязательных мер защиты.

  • своевременное обновление patches;
  • контроль доступа по модели zero trust;
  • комплексный monitoring;
  • постоянный обмен threat intelligence;
  • готовность к обнаружению и сдерживанию advanced threats.

Как отмечают исследователи, продолжение наблюдений и обмен разведданными об этих evolving tactics будут жизненно важны для организаций, стремящихся укрепить защиту от атак, усиленных на базе ИИ.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: