Mycelium: первый ботнет как услуга с ИИ-возможностями
Исследователи кибербезопасности зафиксировали появление Mycelium — фреймворка, который сломал привычные представления о ботнетах. Вместо классической модели, ориентированной на DDoS-атаки, спам или кражу учётных данных, Mycelium позиционирует себя как первый ботнет в формате ИИ как услуга (AI-as-a-Service), превращая скомпрометированные машины в управляемый пул вычислительных ресурсов. Это уже не просто заражённые хосты, а арендуемые мощности для распределённого ИИ-вывода, что знаменует беспрецедентный виток в эволюции киберугроз.
Модульная архитектура корпоративного уровня
В основе Mycelium лежит модульный C++-фреймворк с архитектурой плагинов, обеспечивающий кросс-платформенную совместимость с Windows и Linux. Такой подход позволяет гибко наращивать функциональность: от эксплуатации уязвимостей и закрепления в системе до браузерной криминалистики. Ключевое отличие — динамическая оценка каждого узла по доступным аппаратным ресурсам (CPU, GPU) и установленным ИИ-сервисам. Задачи назначаются с учётом этих метрик, что напоминает принципы оркестрации в корпоративных вычислительных средах, только поставленные на службу злоумышленникам.
C2-инфраструктура и механизмы уклонения
Командно-контрольный центр (C2) реализован поверх IRC-протокола и защищён шифрованием AES-256. Такая связка даёт операторам единовременный контроль над множеством систем, координацию задач и мониторинг ресурсов. Чтобы оставаться незамеченным, фреймворк применяет целый арсенал техник противодействия обнаружению:
- патчинг в рантайме;
- зашифрованные каналы связи;
- полиморфное поведение.
Закрепление в системе продумано для долгосрочного использования хостов и варьируется в зависимости от платформы:
- Windows: ключи автозагрузки реестра, потребители событий WMI;
- Linux: задачи cron.
Искусственный интеллект как наступательное оружие
Mycelium выходит далеко за рамки пассивного сбора данных. Заявленные ИИ-возможности фреймворка включают автоматизацию атак на всех этапах цепочки вторжения. Алгоритмы способны генерировать фишинговые сообщения, имитируя стиль общения жертвы, — мощный рычаг для усиления социальной инженерии. Вредоносная платформа также мониторит актуальные источники уязвимостей, автоматизирует проверку эксплойтов и, что критически важно, выполняет распределённые задачи ИИ на заражённых конечных точках. В сочетании с инструментами горизонтального перемещения по корпоративным сетям это создаёт угрозу, нацеленную на взлом самой организационной структуры предприятий.
Новая парадигма — новые средства защиты
Хотя отдельные компоненты Mycelium заимствуют функциональность широко известных вредоносных программ, интеграция искусственного интеллекта и отношение к скомпрометированным системам как к пулу ресурсов формируют принципиально иную модель угрозы. Стирается грань между целевым шпионажем и массовой киберпреступностью. Появление подобных фреймворков обязывает индустрию кибербезопасности пересматривать стратегии детектирования и реагирования, внедрять поведенческий анализ, способный распознавать аномалии даже в зашифрованном трафике, и готовиться к противостоянию с автоматизированным противником, действующим в парадигме «ИИ как услуга».
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



