Хакеры адаптируют искусственный интеллект для эволюции вредоносного ПО: новые угрозы на горизонте

В результате исследования Google было выявлено, что несколько новых категорий вирусов используют большие языковые модели для проведения хакерских атак.

Согласно отчету группы Google Threat Intelligence Group (GTIG), экспертам удалось идентифицировать как минимум пять различных штаммов вредоносного ПО, оснащенного ИИ, некоторые из которых уже находят применение в кибератаках.

Выявленные образцы программного обеспечения способны динамически создавать вредоносные скрипты и маскировать свой код, чтобы избежать обнаружения. Они также используют модели ИИ для разработки злонамеренных функций в зависимости от конкретной ситуации, вместо жесткой заранее заданной логики.

Этот новый метод отличается от классических подходов в создании вредоносных программ, где логика напрямую встраивается в двоичный код.

За счет передачи ряда функций искусственному интеллекту такое злоумышленное ПО может постоянно адаптироваться, чтобы лучше защищаться от систем борьбы с угрозами.

В техническом описании GTIG сообщается, что одно из семейств, называемое PROMPTFLUX, запускает процесс Thinking Robot, который ежечасно через API Gemini обновляет свой код на VBScript. Программа PROMPTSTEAL, связанная с российской группировкой APT28, использует модель Qwen для генерации команд Windows по запросу.

Аналитики также обнаружили активность северокорейской группы UNC1069 (известной как Masan), которая злоупотребляла платформой Gemini. Эти хакеры известны своими кампаниями по краже криптовалют с применением социальной инженерии.

Запросы к ИИ от Google включали инструкции по извлечению данных из криптовалютного кошелька, созданию скриптов для доступа к зашифрованным данным и разработке многоязычного фишингового контента, ориентированного на сотрудников криптовалютных бирж.

Использование ИИ хакерами является давней проблемой.

В феврале 2024 года сообщалось о том, что мошенники из КНДР применяют искусственный интеллект для реализации своих преступных схем. Представитель южнокорейской разведки отметил, что злоумышленники из Северной Кореи используют генеративный ИИ для обмана и манипуляции с сотрудниками служб безопасности.

В июне 2025 года инструмент ИИ Xbow от одноименной компании стал лидером среди белых хакеров, которые выявили и сообщили о наибольшем количестве уязвимостей в ПО известных компаний. Xbow помог обнаружить уязвимости в системах Amazon, Disney, PayPal и Sony.

В октябре криптограф Mysten Labs Костас Халкиас предупредил о том, что хакеры из Северной Кореи внедряют искусственный интеллект на всех этапах кибератак — от фишинга до отмывания денег. По его словам, ИИ стал более серьезной угрозой для криптовалют, чем квантовые вычисления.

«Нейросети — это лучший инструмент, который когда-либо был у меня как у белого хакера. Представьте, что происходит, когда он оказывается не в тех руках», — отметил эксперт.

Он добавил, что такие группировки, как Lazarus, применяют LLM для автоматического сканирования тысяч смарт-контрактов.

В сентябре эксперты также обнаружили новый инструмент ИИ на теневых форумах, предназначенный для автоматизации атак на электронную почту под названием SpamGPT. Этот инструмент позиционируется как «революция» для киберпреступников.