Агентный искусственный интеллект в 10 раз ускорил анализ китайской кампании по распространению вредоносного ПО

Кампания, активная с июня 2023 года, продолжает масштабные операции. Если в июле 2025 года кластер насчитывал около 2800 доменов для доставки вредоносного ПО, то к ноябрю их число выросло примерно до 5000. За последние полгода исследователи обнаружили и проанализировали более 1900 новых подозрительных доменов, входящих в этот суперкластер. Основной тактикой угрозы остается создание фишинговых сайтов, имитирующих страницы загрузки популярного ПО, таких как WhatsApp, Telegram, VPN-сервисы, браузер Chrome, офисный пакет WPS Office и криптовалютные кошельки.

Инфраструктура злоумышленников претерпела значительные изменения. После периода консолидации вокруг хостинга Alibaba Cloud и регистратора WebNIC, к осени 2025 года операция стала более фрагментированной и локализованной. В частности, возросло использование китайских регистраторов, таких как «Sichuan Yuqu Network Technology Co., Ltd.», и появились рандомизированные шаблоны именования доменов. Эти изменения, вероятно, направлены на улучшение операционной безопасности. Кроме того, угроза демонстрирует развитие технических возможностей, включая использование сложного анти-автоматизационного JavaScript, множественных упаковщиков для вредоносных нагрузок и механизмов certificate pinning.

Наиболее значимым аспектом отчета стало описание экспериментального подхода к анализу угроз с помощью агентного искусственного интеллекта. Вместо традиционных автоматизированных скриптов исследователи развернули систему координируемых ИИ-агентов, способных адаптироваться к различным задачам. Архитектура состоит из двух уровней: оркестратора, который управляет процессом, и специализированных агентов для анализа. Например, ScannerAgent автоматизирует работу с браузером и перехватывает сетевой трафик, CodeAnalyzerAgent проводит семантический анализ JavaScript, а BinaryAnalyzerAgent исследует вредоносные файлы.

Внедрение этой технологии кардинально изменило экономику защиты. По словам исследователей, один специалист с помощью ИИ-агентов достиг десятикратного увеличения пропускной способности анализа. Агенты смогли обработать более 1900 вредоносных сайтов за время, которое обычно требуется для ручного расследования лишь 200-400 доменов. В одном из тестовых прогонов три параллельных агента обработали 2000 доменов примерно за 10 часов, тратя в среднем от 1 до 10 минут на каждый ресурс. При этом система демонстрирует детерминированную последовательность действий и способность к непрерывному обучению, например, автоматически создавая и применяя новые правила обнаружения YARA.

Тем не менее, авторы отчета отмечают и ограничения метода. Несмотря на впечатляющую скорость, обработка каждого домена все еще требует вычислительных ресурсов. Кроме того, автоматическое создание детектов остается сложной задачей, требующей дальнейшей доработки. Уверенность в атрибуции всех доменов единому кластеру основывается преимущественно на схожести инфраструктуры и тематики фишинга, а не на детальном анализе каждого вредоносного файла.

Исследование также выявило любопытные временные паттерны активности. В отличие от предыдущих периодов, когда регистрация доменов коррелировала с рабочими часами в Восточной Азии, данные за май-ноябрь 2025 года показывают аномальные пики, например, в 22:00 по UTC. При этом кампания продемонстрировала всплеск активности во время китайского Праздника середины осени, что косвенно подтверждает ориентацию на соответствующую аудиторию. Географически инфраструктура остается привязанной к Азиатско-Тихоокеанскому региону, о чем свидетельствует доминирование доменов .cn и .com.cn, а также использование китайских DNS-провайдеров.

В заключение эксперты подчеркивают, что современные угрозы достигают беспрецедентного масштаба. Однако применение скоординированных систем агентного искусственного интеллекта открывает новые возможности для защитников, позволяя им не отставать от быстро адаптирующихся злоумышленников. Баланс в кибербезопасности постепенно смещается в эпоху повсеместного использования ИИ, где технологиями могут эффективно пользоваться обе стороны противостояния.

Domains

• 7ov-kuailian.com.cn
• 8989faka.cn
• aaa666.cn
• aa-kuailian.com.cn
• ackuailian.com.cn
• acs-imtoken.com
• aeg-kuailian.com.cn
• aes-kuailian.com.cn
• ae-telegram.com.cn
• aicnion.com
• aicoiene.com
• aicoin-cn.biz
• aicoin-download.com
• aicoin-download.us.com
• aicoin-down-pc.biz
• aicoin-down-pc.com
• aicoin-down-pc.org
• aicoin-down-pc.vip
• aicoin-down-soft.com
• aicoin-down-soft.org
• aicoin-home.com
• aicoin-home.org
• aicoin-home.us.com
• aicoin-pc-download.biz

URLs

• http://chrome-cm.com.cn/ChromeSetup.exe
• http://chrome-m.com.cn/ChromeSetup.exe
• http://chrome-me.com.cn/ChromeSetup.exe
• http://cnzh-sougoushurufa.com.cn/sogou_pinyin_guanwang_15.8.exe
• http://guge-chrom.com.cn/ChromeSetup.exe
• http://guge-cn.com.cn/ChromeSetup.exe
• http://qishuiiyinyue-app.com.cn/SodaMusic-v2.7.0-official-win32_x64.exe
• http://qishui-yinle.com.cn/SodaMusic-v2.7.0-official-win32_x64.exe
• http://qishuiyinyuedouyi.com.cn/static/file/SodaMusic-v2.7.0-official-win32_x64.exe
• http://qishuiyinyyue.com.cn/static/file/SodaMusic-v2.7.0-official-win32_x64.exe
• http://wuquan.org.cn/static/file/WuQuaanrs.zip
• http://xunlei-pc.com.cn/XunLeiWebSetup12.4.7.3858xl11.exe
• https://tongji.mc52.com/

Emails

• 1204504046@qq.com
• 18589929790@163.com
• 2035712403@qq.com
• 21033193@qq.com
• 2235053526@qq.com
• 2274677885@qq.com
• 2633067209@qq.com
• 286847215@qq.com
• 2957999579@qq.com
• 3283028829@qq.com
• 3653564961@qq.com
• 3799492994@qq.com
• 3839020959@qq.com
• 3926066154@qq.com
• 3951087743@qq.com
• 408367846@qq.com
• 515563424@qq.com
• 531679449@qq.com
• 614199941@qq.com
• 616489685@qq.com
• 624310867@qq.com
• 631599288@qq.com
• 646996136@qq.com
• 744812326@qq.com
• 9324928@qq.com
• a685569961@outlook.com
• aa16858895555@outlook.com
• aisuite@hotmail.com
• bnpk443@163.com
• calaw19890912@gmail.com
• chengwangyi1971@hotmail.com
• cllhut005@gmail.com
• ericq1027@gmail.com
• eyuqicocafi68@gmail.com
• fifermarti968@gmail.com
• gfan8581@gmail.com
• hs1726936602@163.com
• huuhad791@gmail.com
• jinqianj5722@163.com
• kathyehk@gmail.com
• liujing3721@outlook.com
• logged567@gmail.com
• nameibuhaore@outlook.com
• nnaomalan042@gmail.com
• pandashen0505@gmail.com
• pluto_1111@hotmail.com
• pokiohgff@gmail.com
• raficponomarov5t@gmail.com
• sophiahernandezv@hotmail.com
• wc18973@outlook.com
• westabuse@gmail.com
• winrmbcc@gmail.com
• yaarluq55342@outlook.com
• yaqyfwhv476149@outlook.com
• yilufa168899@163.com
• yiyi95788@gmail.com
• yojoy01@proton.me
• zmpnz951938@outlook.com

MD5

• 1605bee5a12fc31c0b5bb9232d281e8f
• 2c583a8a0d28d3ddbec451e77062bdf6
• 352bf0fb165ca7ab634d3cea879c7a72
• 39f7c9431fdd7a3d6e06a177938de82a
• 4a4f0b2ee2183a70f09a260e209f9862
• 576cf858288eef7dc02ba30394d47747
• 61b4c1f7dc904a88452ac6e61b0d00e9
• 70ecc7c3a318165ed69d14518756aa48
• 749a9b99a1c14a45712efed8c3b8fedd
• 95878ed03acd631a38b80bc9056a0299
• 97881b7a6885b25d63db19094af0f5ca
• db42cea977dda461f6890e8ba9c296e4
• ec5f0730b33e6a7d5f6a246f8afed764
• f4b3788b2247dd149fb7fdffe8aece79
• fd3d9d32c2357b48b20735652ba569cd

SHA256

• 150c0cd3f94dff6ee39ff4013221f33920688bf399a624b8bb4d590f9b0c6644
• 1548a7665f08f8b363d043a961f02ae8a01bde9b95a177cb612b6f9531ff38d8
• 3affd78bc778b862693e1f5cf570c80cd81bdfdf39c53e24f9c8d68556f803b5
• 472d238bd8da7436d93e78a94c918e10961663be784e9985684179aaa7894e2b
• 767d162609e7e8e4e1c24308d94cc325615ce01696e149e790cca8a36b74178d
• 8b52437bfe82167537dfea838cf1cd669f8e790cfa52c8a840e29959d80027f2
• 8ddb67e0b243814c4e2062182043e11e07c7d1b9a1f60ad58fd129e74e12ffc9
• 947cf69cd94fcf03c9f8153c747ade1ee5399be64a5d5c809a9147b6b16ba530
• 97ca26f136e70fe3b38cec5bf224b04db023b8a090956383802b8c58226655b4
• a39f9387095f87a9a44f0df690800765e2a0dc3ffecd7118b10be5c8b1805d24
• b6d48b05bcb1bd9c3d3d90a1773393b696d8654d9162d3918aa447a233f1f283
• bceea58629d893b20b53a97bbb8a3fdad9bd7bd7d4bbc389522605997dcdf60b
• bf0570156d264d9d63f6dfa67a552e57109f0ec8fdf80b013b76c8e752f47da5
• ef82a60f7de0955783079a11db4373762bd11618bb237a4f97f00a9aa411924c
• f37adf2cd854c483da38f6022612a8c1eaf1dac598e807dd18b1f5da691c8e61