В 2026 году группа хакеров Leek Likho использовала ИИ в кибератаках на организации РФ, преимущественно из госсектора, сообщается в новом отчёте «Лаборатории Касперского». Технический анализ вредоносной активности показал, что злоумышленники могут применять большие языковые модели для модификации вредоносных скриптов и других инструментов, а также их названий под разные цели.
Кампании группы остаются активными и устойчивыми с 2025 года за счёт постоянных изменений инфраструктуры, скриптов и методов маскировки вредоносного ПО. Несмотря на развитие тактик, общая схема атак остаётся прежней: злоумышленники делают основной упор на сочетании социальной инженерии, многоступенчатой загрузки и легитимных инструментов, таких как rclone. Особенность группы — использование Tor и SSH для соединения с управляющим сервером.
Злоумышленники по-прежнему получают доступ, используя схемы социальной инженерии в Telegram. Они маскируют доставку вредоносного содержимого под легитимные файлообменные механизмы, например ссылки, имитирующие страницы загрузки файлов в Telegram. В некоторых случаях присылают ссылку на файлообменник Dropbox. Переход по ним приводит к скачиванию вредоносного архива. Внутри находится вредоносный LNK-файл с двойным расширением pdf.lnk наподобие Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. Однако при распаковке через стандартное приложение Windows он выглядит как обычный служебный PDF-документ, например приказ о поощрении или назначении. Там же содержится ещё один архив — с вредоносными инструментами, замаскированными под популярные приложения, в частности для работы с базами данных. Открытие LNK-файла запускает цепочку заражения, в ходе которой данные с устройства собираются и отправляются злоумышленникам с помощью rclone — легитимного сервиса для работы с облачными хранилищами.
Для каждой цели злоумышленники используют в качестве приманки отдельный файл-ярлык (LNK) с новым именем. Однако названия файлов отличаются незначительно: например, меняется только номер «приказа». В кибератаках отличается и содержимое второго архива: вредоносные инструменты в нём каждый раз получают новые имена, похожие на названия известных приложений. Вредоносные скрипты, то есть код, который управляет заражённой машиной, также варьируются. Например, иногда одни и те же действия выполняются по-разному, а в код могут добавляться лишние операции, которые ни на что не влияют. Всё это говорит о том, что Leek Likho может активно использовать ИИ для генерации как вредоносных скриптов, так и их названий. Подобным образом группа пытается снизить эффективность детектирования и усложнить поиск своих инструментов в системе.
Исследователи SafeDep разобрали исходный код Miasma, который появился на GitHub через скомпрометированные аккаунты разработчиков.
OpenAI опубликовала план развития, в котором описала новый этап работы компании.
Специалист по безопасности под псевдонимом Dead Eclipse продолжает публиковать сведения о ранее неизвестных уязвимостях Windows после конфликта с Microsoft.
Использование встроенного антивируса Windows Defender может нести серьёзные риски для корпоративных пользователей из-за обнаруженной уязвимости, позволяющей хакерам получать права администратора.
Специалисты центра исследования киберугроз Solar 4RAYS обнаружили гигантский ботнет ProxyCB.
Эксперты BI ZONE Mail Security зафиксировали масштабную кибератаку на сотрудников российских компаний: только за последнюю неделю мая 2026 года злоумышленники разослали более тысячи фишинговых писем, спекулируя на теме пассивного дохода и инвестиций.
Подавляющее большинство опрошенных россиян согласны с тем, что цифровая среда упрощает их жизнь, а 90% уверены, что каждый человек должен уметь самостоятельно взаимодействовать с современными приложениями и сервисами.
Почти треть опрошенных российских компаний сталкивалась с утечками клиентских данных — показало исследование сервиса телефонии «Новофон».
Специалисты компании F6 выявили новую многоуровневую мошенническую схему в Telegram: злоумышленники используют страх граждан перед атаками беспилотников, чтобы в итоге втянуть их в фейковые розыгрыши и выманить деньги от имени государственного кадрового портала.
Meta* начнет использовать данные о действиях пользователей на сторонних сайтах и в приложениях для персонализации ленты, рекомендаций и ответов ИИ-ассистента.
