Новая угроза: Хакеры применяют ИИ для создания адаптивного вредоносного ПО

Согласно проведенному исследованию Google, несколько новых семейств вредоносного ПО начали использовать большие языковые модели (LLM) для осуществления хакерских атак.

В докладе группы Google Threat Intelligence Group (GTIG) отмечается, что специалистам удалось выявить как минимум пять различных типов программ с элементами искусственного интеллекта, некоторые из которых уже активно применяются в кибератаках.

Данные семейства программ динамически создают вредоносные скрипты, маскируют свой код для избегания обнаружения и адаптируют зловредные функции на основе ИИ в зависимости от конкретных обстоятельств, вместо фиксированного программирования их заранее.

Такой подход существенно отличается от традиционных методов разработки вредоносного ПО, где логика программы закладывается непосредственно в бинарный код.

Использование искусственного интеллекта позволяет программам вносить непрерывные изменения, усиливая защиту от систем предотвращения атак.

В техническом отчете GTIG упоминается, что программное обеспечение под названием PROMPTFLUX инициирует процесс Thinking Robot, который ежечасно обращается к API Gemini для редактирования собственного кода на VBScript. Программа PROMPTSTEAL, связанная с группировкой APT28 из России, использует модель Qwen для генерации команд Windows по запросу.

Аналитики также зафиксировали деятельность северокорейской группы UNC1069 (Masan), которая использовала Gemini. Эти хакеры известны своими атаками по краже криптовалют с применением методов социальной инженерии.

Запросы к ИИ от Google включали инструкции по нахождению данных из кошельков, генерации скриптов для входа в зашифрованные хранилища и созданию многоязычного фишингового контента, ориентированного на сотрудников криптобирж.

Использование искусственного интеллекта хакерами остается значительной проблемой.

В феврале 2024 года стало известно о применении ИИ преступниками из КНДР для осуществления вредоносных действий. Представитель южнокорейской разведки заявил, что злоумышленники активно используют генеративный искусственный интеллект для обмана и подрыва работы сотрудников служб безопасности.

В июне 2025 года инструмент ИИ Xbow от одноименной компании возглавил список белых хакеров, выявивших максимальное количество уязвимостей в программном обеспечении крупных корпораций, таких как Amazon, Disney и PayPal.

В октябре криптограф Костас Халкиас из Mysten Labs предостерег о том, что хакеры из Северной Кореи внедряют искусственный интеллект на всех этапах кибератак — от фишинга до отмывания денежных средств. По его словам, ИИ стал более серьезной угрозой для криптовалют, чем квантовые вычисления.

«Нейросети — мощнейший инструмент, который когда-либо был у меня как у белого хакера. Вы можете представить, что происходит, когда он оказывается в руках злоумышленников», — отметил эксперт.

Он также упомянул, что такие группы, как Lazarus, используют LLM для автоматического сканирования тысяч смарт-контрактов.

Напоминаем, что в сентябре специалисты обнаружили на теневых форумах новый ИИ-инструмент для автоматизации атак на электронную почту под названием SpamGPT. Он позиционируется как «революция» для киберпреступников.