Группировка Leek Likho использует ИИ для обхода защиты в РФ через Telegram

Согласно отчету «Лаборатории Касперского», в 2026 году группировка Leek Likho начала применять большие языковые модели для автоматизации подготовки кибератак на организации в РФ. Злоумышленники используют ИИ для генерации уникальных имен файлов и модификации вредоносных скриптов, что позволяет им обходить стандартные системы обнаружения. Основной целью атак остаются структуры госсектора, где используется схема социальной инженерии через мессенджер Telegram с последующей доставкой вредоносного ПО под видом легитимных документов.

Механика атак и использование ИИ

Группировка сохраняет общую схему действий, но меняет технические детали для каждой цели. ИИ используется не для создания нового функционала, а для маскировки и вариативности кода.

• Генерация имен: Для каждой атаки создается уникальный ярлык (LNK-файл) с новым названием, например, меняется только номер «приказа» в имени файла.
• Модификация кода: Скрипты, управляющие зараженным устройством, получают новые имена, имитирующие названия популярных приложений. В код добавляются лишние операции, не влияющие на работу, но меняющие цифровой отпечаток файла.
• Цель изменений: Усложнение поиска инструментов в системе и снижение эффективности сигнатурных методов защиты.

Атака начинается с рассылки ссылок в Telegram, имитирующих легитимные файлообменники или страницы загрузки. Переход по ссылке ведет к скачиванию архива, содержащего файл с двойным расширением (например, pdf.lnk). При распаковке в стандартном проводнике Windows он отображается как обычный документ (например, приказ о поощрении). Открытие файла запускает цепочку загрузки вредоносных инструментов, замаскированных под утилиты для работы с базами данных.

Инструментарий и векторы проникновения

Злоумышленники комбинируют методы социальной инженерии с использованием легитимного программного обеспечения для скрытия трафика.

• Канал доставки: Мессенджер Telegram, ссылки на Dropbox или имитация страниц загрузки файлов.
• Инструменты скрытия: Использование сети Tor и протокола SSH для связи с управляющим сервером.
• Эксплуатация легитимных утилит: Для передачи украденных данных используется утилита rclone, предназначенная для синхронизации облачных хранилищ. Это позволяет вредоносному трафику выглядеть как обычная работа с облаком.
• Маскировка: Вредоносные архивы содержат файлы, имитирующие системные утилиты или офисные приложения.

Активность группировки сохраняется с 2025 года. Постоянное изменение инфраструктуры и скриптов обеспечивает устойчивость кампаний к блокировкам.

Рекомендации для бизнеса и защиты

Для минимизации рисков организациям необходимо адаптировать стратегии безопасности под новые методы маскировки, основанные на ИИ. Эксперты «Лаборатории Касперского» указывают на эффективность комплексных решений, таких как Kaspersky Endpoint Detection and Response Expert, для выявления данной активности.

Ключевые направления защиты:

• Интеграция данных об угрозах: Предоставление специалистам отдела безопасности доступа к актуальной информации о тактиках злоумышленников через сервисы Threat Intelligence.
• Внедрение комплексных платформ: Использование решений, позволяющих выстроить гибкую систему безопасности, например Kaspersky Symphony.
• Обучение персонала: Регулярные тренинги по цифровой грамотности для сотрудников, так как первый этап атаки базируется на человеческом факторе. Для этого могут применяться специализированные платформы, такие как Kaspersky Automated Security Awareness Platform.

Сигнал для рынка заключается в том, что использование ИИ для генерации вариативного кода становится доступным инструментом для киберпреступников. Это требует от бизнеса перехода от статических методов защиты к динамическим системам, способным анализировать поведение объектов, а не только их сигнатуры.