Mycelium: первый ботнет как услуга с ИИ-возможностями

Исследователи кибербезопасности зафиксировали появление Mycelium — фреймворка, который сломал привычные представления о ботнетах. Вместо классической модели, ориентированной на DDoS-атаки, спам или кражу учётных данных, Mycelium позиционирует себя как первый ботнет в формате ИИ как услуга (AI-as-a-Service), превращая скомпрометированные машины в управляемый пул вычислительных ресурсов. Это уже не просто заражённые хосты, а арендуемые мощности для распределённого ИИ-вывода, что знаменует беспрецедентный виток в эволюции киберугроз.

Модульная архитектура корпоративного уровня

В основе Mycelium лежит модульный C++-фреймворк с архитектурой плагинов, обеспечивающий кросс-платформенную совместимость с Windows и Linux. Такой подход позволяет гибко наращивать функциональность: от эксплуатации уязвимостей и закрепления в системе до браузерной криминалистики. Ключевое отличие — динамическая оценка каждого узла по доступным аппаратным ресурсам (CPU, GPU) и установленным ИИ-сервисам. Задачи назначаются с учётом этих метрик, что напоминает принципы оркестрации в корпоративных вычислительных средах, только поставленные на службу злоумышленникам.

C2-инфраструктура и механизмы уклонения

Командно-контрольный центр (C2) реализован поверх IRC-протокола и защищён шифрованием AES-256. Такая связка даёт операторам единовременный контроль над множеством систем, координацию задач и мониторинг ресурсов. Чтобы оставаться незамеченным, фреймворк применяет целый арсенал техник противодействия обнаружению:

  • патчинг в рантайме;
  • зашифрованные каналы связи;
  • полиморфное поведение.

Закрепление в системе продумано для долгосрочного использования хостов и варьируется в зависимости от платформы:

  • Windows: ключи автозагрузки реестра, потребители событий WMI;
  • Linux: задачи cron.

Искусственный интеллект как наступательное оружие

Mycelium выходит далеко за рамки пассивного сбора данных. Заявленные ИИ-возможности фреймворка включают автоматизацию атак на всех этапах цепочки вторжения. Алгоритмы способны генерировать фишинговые сообщения, имитируя стиль общения жертвы, — мощный рычаг для усиления социальной инженерии. Вредоносная платформа также мониторит актуальные источники уязвимостей, автоматизирует проверку эксплойтов и, что критически важно, выполняет распределённые задачи ИИ на заражённых конечных точках. В сочетании с инструментами горизонтального перемещения по корпоративным сетям это создаёт угрозу, нацеленную на взлом самой организационной структуры предприятий.

Новая парадигма — новые средства защиты

Хотя отдельные компоненты Mycelium заимствуют функциональность широко известных вредоносных программ, интеграция искусственного интеллекта и отношение к скомпрометированным системам как к пулу ресурсов формируют принципиально иную модель угрозы. Стирается грань между целевым шпионажем и массовой киберпреступностью. Появление подобных фреймворков обязывает индустрию кибербезопасности пересматривать стратегии детектирования и реагирования, внедрять поведенческий анализ, способный распознавать аномалии даже в зашифрованном трафике, и готовиться к противостоянию с автоматизированным противником, действующим в парадигме «ИИ как услуга».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: