Группировка Leek Likho, по данным нового отчёта «Лаборатории Касперского», начала использовать искусственный интеллект при подготовке кибератак. В 2026 году активность группы была замечена в атаках на российские организации, в основном из государственного сектора.

Речь не о полностью автоматических атаках, а скорее о применении больших языковых моделей для «подгонки» вредоносных инструментов под разные цели. По данным исследователей, ИИ мог использоваться для изменения скриптов, названий файлов и отдельных элементов цепочки заражения.

В источнике не приводится точное число атак или пострадавших организаций. Но указано несколько важных деталей:

— активность Leek Likho остаётся заметной с 2025 года;
— в 2026 году группа, вероятно, начала использовать ИИ для модификации вредоносных скриптов;
— атаки нацелены преимущественно на организации госсектора РФ;
— доставка вредоносных файлов часто маскируется под Telegram или файловые ссылки;
— в цепочке заражения используется LNK-файл;
— для вывода данных применяется легитимный инструмент rclone;
— для связи с управляющим сервером используются Tor и SSH.

Схема атак при этом остаётся довольно привычной: злоумышленники применяют социальную инженерию, заставляют жертву скачать архив, а затем запускают многоступенчатую цепочку заражения.

Главный интерес здесь не только в самой группировке, а в том, как ИИ меняет подход к кибератакам. Если раньше злоумышленникам приходилось вручную менять скрипты и названия файлов, то теперь часть такой работы можно ускорить с помощью языковых моделей.

Leek Likho может использовать ИИ для генерации вредоносных скриптов и их названий.

Это важно для защитников: даже небольшие изменения в коде, именах файлов и структуре архива могут усложнять обнаружение. Системы безопасности часто ищут знакомые признаки вредоносной активности, а постоянные вариации помогают атакующим дольше оставаться незамеченными.

Новость будет полезна специалистам по информационной безопасности, администраторам, сотрудникам госорганизаций и компаниям, которые работают с чувствительными данными.

Обычным пользователям тоже стоит обратить внимание на эту историю. Она хорошо показывает, почему нельзя открывать подозрительные архивы и ярлыки, даже если ссылка выглядит как обычная загрузка файла в Telegram или Dropbox.

Источник не раскрывает полный технический отчёт и не приводит всех индикаторов компрометации. Также важно аккуратно относиться к формулировке «используют ИИ»: речь идёт о признаках и выводах технического анализа, а не о публичном признании самих злоумышленников.

Кроме того, использование легитимных инструментов вроде rclone усложняет защиту. Сам по себе такой инструмент не является вредоносным, но в руках атакующих может применяться для сбора и передачи данных.

Эта история показывает, что ИИ становится инструментом не только для бизнеса и разработки, но и для злоумышленников. Даже простое изменение названий файлов и скриптов может усложнить работу систем защиты. Поэтому кибербезопасность всё больше зависит не только от антивируса, но и от внимательности пользователей, обучения сотрудников и грамотной настройки мониторинга.

Самое тревожное здесь — не сам факт использования ИИ, а его применение для постоянной «маскировки» уже знакомых атак. Такие кампании могут не выглядеть технически революционными, но становятся более гибкими и трудными для обнаружения. Для организаций это ещё один аргумент в пользу регулярного обучения сотрудников и осторожного отношения к файлам из мессенджеров. При этом не стоит драматизировать: базовая схема атаки остаётся понятной, а значит, её можно снижать грамотной защитой и дисциплиной.

Источник: telecomdaily.ru