Volexity: китайская APT-группа использует ChatGPT-подобные модели для целевых атак

10.10.2025

Исследователи компании Volexity сообщили о новой кибершпионской кампании, в которой злоумышленники применяют большие языковые модели (LLM) - аналоги ChatGPT для создания фишинговых писем и вредоносных документов. Группировка, получившая обозначение UTA0388, предположительно связана с Китаем и действует против исследовательских и аналитических организаций.

По данным отчёта, атаки начались летом 2025 года. Хакеры используют продуманную схему установления доверия: сначала отправляют нейтральное письмо, якобы от имени исследователя или сотрудника международной организации, без вредоносных вложений. После короткой переписки жертве направляется архив, в котором под видом легитимного файла скрыт троян GOVERSHELL.

Аналитики обнаружили уже несколько версий этого вредоносного ПО, каждая из которых отличается методами сокрытия и механизмом связи с управляющими серверами. По их данным, атаки ведутся через платформу Zendesk, а заражённые архивы часто сопровождаются автоматически сгенерированными текстами, где заметны следы работы LLM: характерные языковые конструкции, поддельные подписи и многоязычные фрагменты.

Volexity отмечает, что это один из первых зафиксированных случаев, когда крупная APT-группа системно использует искусственный интеллект для масштабирования целевых атак. Исследователи предполагают, что языковые модели помогают злоумышленникам быстрее создавать правдоподобные письма, адаптированные под разные страны и отрасли.

Компания рекомендует организациям использовать опубликованные индикаторы компрометации (IoC) и обновить системы защиты, чтобы выявлять попытки распространения GOVERSHELL и связанных инструментов.