Дослідники з безпеки компанії Volexity виявили переконливі докази того, що хакерські угруповання, пов’язані з Китаєм, активно використовують платформи штучного інтелекту, такі як ChatGPT, для удосконалення своїх кіберзлочинних операцій.
Група, відома під кодовою назвою UTA0388, здійснює цілеспрямовані фішингові атаки з червня 2025 року. Вони застосовують допомогу ШІ для розробки високотехнологічного шкідливого програмного забезпечення та створення багатомовних фішингових електронних листів, націлених на організації в Північній Америці, Азії та Європі.
Кампанії UTA0388 демонструють безпрецедентну майстерність у використанні великих мовних моделей для автоматизації та покращення зловмисних дій. Наприклад, загроза формується через вигадані особистості та фіктивні науково-дослідницькі організації, щоб соціально інженерно спонукати жертви завантажити шкідливий код.
Загальна кількість листів та їхня мовна різноманітність — англійська, китайська, японська, французька та німецька — значно перевищують традиційні можливості атакувальників. Це дає змогу проводити масштабні операції швидко й без залучення фахівців з різних мов. Більше 50 унікальних фішингових листів були зафіксовані, при цьому кожен з них виглядає природно та плавно, але часто містить семантичні непослідовності, наприклад, англомовний текст у тілі листа поєднується з темою на мандаринській і німецьким текстом повідомлення. Така невідповідність свідчить про генерацію контенту за допомогою ШІ, а не людську авторство.
Зловмисники практикують так званий «фішинг через встановлення довіри» (rapport-building phishing). Початкові листи виглядають безпечними, і лише після кількох взаємодій вони надсилають шкідливий контент, що дозволяє мінімізувати ризик виявлення та побудувати довіру з жертвами.
Аналіз шкідливого ПЗ GOVERSHELL
Технічний огляд виявив п’ять різних варіантів унікального шкідливого програмного забезпечення, відомого як GOVERSHELL. Кожен варіант є повністю новою розробкою, а не просто оновленням попереднього коду. Така швидка та розгалужена розробка свідчить про використання генерації коду за допомогою штучного інтелекту.
Особливості варіантів GOVERSHELL:
- Використання різноманітних протоколів командного і контролю, від імітації TLS-з’єднань до WebSocket-комунікацій.
- Кожна версія містить нові функції та повністю переписані мережеві стекі.
- Забезпечення стійкості через плановані завдання та захоплення порядку пошуку (search order hijacking), що дозволяє завантажувати шкідливі DLL разом із легітимними виконуваними файлами.
Варто відзначити, що серед артефактів знайдені шляхи розробників із символами спрощеної китайської мови, а також метадані, які вказують на використання python-docx — бібліотеки, популярної серед великих мовних моделей для генерації документів.
Звіт OpenAI за жовтень 2025 року підтверджує, що UTA0388 застосовує ChatGPT для розробки фішингових кампаній та шкідливого ПЗ. До ознак належать:
- Вигадані відомості про організації з передбачуваними послідовними шаблонами.
- «Пасхальні яйця» у вигляді порнографічного контенту та буддистських записів у архівах шкідливого коду.
- Систематичні атаки на очевидно фальшиві електронні адреси, зібрані з вебсайтів без належного контексту.
Наслідки та стратегії захисту
Інтеграція штучного інтелекту у злочинну кібердіяльність знаменує нову еру автоматизованих, масштабних кіберзагроз. Традиційні методи захисту, що орієнтуються на лінгвістичні аномалії, натрапляють на труднощі у виявленні досить плавного, але семантично невірного контенту, створеного ШІ.
Рекомендації з посилення кібербезпеки:
- Розширити захист електронної пошти, впроваджуючи поведінкові алгоритми виявлення та моніторинг аномалій у ланцюжках відповідей, що можуть свідчити про тактику забудови довіри.
- Забезпечувати безпеку кінцевих точок, спрямовану на виявлення нетипових механізмів стійкості, зокрема захоплення порядку пошуку.
- Активніше обмінюватися розвідувальною інформацією, особливо щодо індикаторів компрометації, пов’язаних із GOVERSHELL.
- Регулярно застосовувати патчі для відомих уразливостей, котрі можуть використовуватися через шкідливі документи.
Враховуючи розвиток платформ штучного інтелекту, захисникам також слід впроваджувати технології ШІ для аналізу та виявлення аномалій, щоб протидіяти загрозам нового покоління.
| Ідентифікатор CVE | Опис уразливості | Наслідки | Оцінка CVSS 3.1 |
|---|---|---|---|
| CVE-2022-30190 | Microsoft Follina: віддалене виконання коду через шкідливі файли Word | Віддалене виконання коду | 7.8 |
| CVE-2023-23397 | Підвищення привілеїв у Microsoft Outlook | Викрадення облікових даних / виконання коду | 9.8 |
| CVE-2023-21803 | Віддалене виконання коду в Microsoft Visio через спеціально створені VSDX-файли | Віддалене виконання коду | 8.6 |
Акція до Місяця кібербезпеки: покращуйте свої навички, обираючи серед понад 100 преміум-курсів із кібербезпеки в рамках «Diamond Membership» від EHA — приєднуйтеся вже сьогодні!
