За три месяца северокорейская хакерская группа HexagonalRodent похитила около $12 млн в криптовалюте, используя ИИ-инструменты для генерации вредоносного кода и поддельных сайтов. В США бывший переговорщик с вымогателями признался в двойной игре, а британская разведка зафиксировала, что уже 100 правительств мира имеют доступ к коммерческому шпионскому ПО.
ИИ-армия КНДР: как нейросети заменили хакерам квалификацию
Специалист по кибербезопасности Expel Маркус Хатчинс раскрыл детали масштабной кампании, в ходе которой хакеры заразили более 2000 компьютеров Web3-разработчиков. Целью были кража учетных данных и доступ к криптокошелькам. Метод атаки опирался на так называемый вайб-кодинг — генерацию вредоносного ПО через текстовые запросы нейросетям.
Напомним, что Северная Корея атакует DeFi: за две недели украдено более $500 млн.
Схема выглядела так:
Ранее мы рассказывали, как Lazarus использует деловые звонки для взлома в рамках атаки Mach-O Man.
- С помощью ИИ-инструментов веб-дизайна Anima хакеры создавали сайты для несуществующих IT-компаний.
- Жертв заманивали поддельными вакансиями и просили выполнить «тестовое задание», содержащее вредонос.
- Весь код и переписка на безупречном английском языке генерировались с помощью ChatGPT и Cursor.
Хатчинс отметил, что хакеры по неосторожности оставили свою инфраструктуру открытой. В сеть утекли их промпты и база данных с кошельками жертв. Код был наполнен комментариями на английском и эмодзи — явный признак того, что ПО полностью сгенерировано большой языковой моделью (LLM).
По мнению эксперта, в 2026 году Пхеньян совершил качественный скачок, превратив низкоквалифицированных операторов в масштабную киберугрозу с помощью ИИ.
Деятельность HexagonalRodent — лишь часть глобальной стратегии КНДР. Microsoft сообщила, что северокорейские операторы используют ИИ для генерации фальшивых документов и социальной инженерии. Anthropic заявила, что пресекла попытки агентов КНДР использовать модель Claude для доработки вирусов. В комментариях WIRED представители OpenAI, Cursor и Anima подтвердили факты злоупотребления их сервисами и заявили о блокировке связанных аккаунтов.
«Двойной агент» на переговорах: как переговорщик помогал вымогателям выжимать максимум
Анджело Мартино, в прошлом сотрудник компании по кибербезопасности DigitalMint, занимавшийся переговорами с вымогателями, признал себя виновным в пособничестве киберпреступникам. Об этом сообщил Минюст США. Мартино играл «на две стороны» в пяти различных инцидентах. Формально работая на пострадавших, он передавал конфиденциальную информацию операторам вредоносов ALPHV/BlackCat.
В частности, он сообщал хакерам лимиты страховых полисов жертв и их стратегии ведения переговоров, чтобы максимизировать выплаты, с которых получал свою долю. Группировка ALPHV/BlackCat действовала по модели CaaS (преступность как услуга): банда создает и поддерживает ПО для шифрования файлов, а «партнеры» используют его в атаках, выплачивая разработчикам долю от прибыли. В 2023 году правоохранители захватили сайт хакеров и выпустили программу-дешифровщик, которая помогла более 500 жертвам.
В 2025 году той же группе помогали другие сотрудники DigitalMint — Кевин Тайлер Мартин и Райан Клиффорд Голдберг. Вместе с Мартино они заработали более $1,2 млн только на одном из пострадавших. Мартино признал вину в вымогательстве, ему грозит до 20 лет тюремного заключения. Власти изъяли у него активы на сумму $10 млн.
Глобальная слежка: 100 правительств получили доступ к шпионскому софту
Согласно данным британской разведки, более половины правительств стран мира теперь имеют доступ к коммерческому шпионскому ПО. Об этом сообщает Politico. Количество стран, потенциально владеющих такими инструментами взлома, выросло с 80 в 2023 году до 100. Барьер для доступа к технологиям слежки снизился.
Коммерческое шпионское ПО, разработанное частными компаниями вроде Pegasus от NSO Group, зачастую полагается на использование уязвимостей в ПО телефонов и компьютеров. Это означает, что конфиденциальная информация граждан и компаний по всему миру находится под растущей угрозой.
Три тренда, которые меняют правила игры
Эти события иллюстрируют три главных тренда в кибербезопасности. Во-первых, ИИ становится доступным оружием для государственных хакеров, снижая порог входа для проведения сложных атак. Во-вторых, доверие к посредникам (переговорщикам, охранным фирмам) может быть использовано против жертв. В-третьих, рынок коммерческого шпионского ПО продолжает расти, делая слежку доступной для десятков правительств.
Для пользователей криптовалют ключевой вывод: любое «тестовое задание» от незнакомой IT-компании может оказаться ловушкой, а использование менеджеров паролей, особенно CLI-версий Bitwarden, требует повышенной бдительности из-за риска внедрения инфостилеров.
Суд над Мартино и расследования атак HexagonalRodent, вероятно, приведут к ужесточению контроля за деятельностью компаний в сфере кибербезопасности и новым требованиям к прозрачности их работы. Но пока хакеры осваивают ИИ быстрее, чем защитники. Останется ли эта гонка бесконечной, или регуляторы смогут перехватить инициативу?