Искусственный интеллект на службе хакеров: Google отслеживает новую волну киберугроз

В последнем квартале 2025 года специалисты Google Threat Intelligence Group (GTIG) зафиксировали тревожную тенденцию: злоумышленники все чаще используют искусственный интеллект (ИИ) для ускорения жизненного цикла атаки. По данным нового отчета, нейросети помогают преступникам повысить продуктивность на этапах разведки, социальной инженерии и разработки вредоносного ПО. При этом эксперты пока не наблюдают кардинального изменения ландшафта угроз, но отмечают появление новых тактик и инструментов.

Описание

Кража интеллектуальной собственности: атаки на модели ИИ

Одним из ключевых трендов стало увеличение числа атак на извлечение моделей, также известных как «дистилляционные атаки». Этот метод представляет собой кражу интеллектуальной собственности, когда злоумышленники, имея легитимный доступ к API, пытаются систематически исследовать зрелую модель машинного обучения, чтобы создать ее упрощенную копию. Хотя атаки на передовые модели со стороны продвинутых постоянных угроз (APT) не зафиксированы, подобные попытки регулярно предпринимают частные компании и исследователи по всему миру, стремящиеся скопировать проприетарную логику.

Например, целью злоумышленников часто становятся исключительные способности к рассуждению модели Gemini. Атаки пытались принудить модель выводить полный процесс рассуждений, что обычно скрыто от пользователей. Google зафиксировал более 100 тысяч подобных промптов. К счастью, системы компании распознали эту активность в реальном времени и смягчили угрозу. Подобные дистилляционные атаки в первую очередь представляют риск для разработчиков и поставщиков услуг ИИ, а не для рядовых пользователей. Google активно противодействует этим нарушениям своих условий обслуживания, применяя юридические меры и совершенствуя системы обнаружения.

Государственные хакеры усиливают разведку и фишинг

Государственные хакерские группировки из КНДР, Ирана, Китая и России активно интегрируют большие языковые модели (LLM) в свои операции. В частности, ИИ используется для технических исследований, выбора целей и быстрого создания изощренных фишинговых приманок. Большие языковые модели стали важным инструментом, позволяющим автоматизировать рутинные задачи и действовать быстрее.

Например, группировка APT42, связанная с Ираном, использовала Gemini для поиска официальных электронных адресов конкретных организаций и проведения разведки потенциальных деловых партнеров. Это помогало злоумышленникам устанавливать правдоподобный предлог для контакта. Корейская группа UNC2970 применяла ИИ для синтеза информации из открытых источников (OSINT) и профилирования высокопоставленных целей в оборонном секторе. Это стирает грань между обычным профессиональным исследованием и злонамеренной разведкой.

Фишинг также переходит на новый уровень. Теперь злоумышленники используют ИИ для создания гиперперсонализированных писем с учетом культурного контекста и профессионального тона целевой организации. Это позволяет им обходить традиционные защитные механизмы, основанные на выявлении грамматических ошибок и неестественных формулировок.

Эксперименты с автономным ИИ и вредоносным ПО

Хакеры проявляют растущий интерес к созданию автономных (агентных) ИИ-систем, способных самостоятельно выполнять сложные задачи. Хотя свидетельств использования таких систем в реальных атаках пока нет, на подпольных рынках уже рекламируются инструменты вроде AutoGPT. Государственные группы, такие как китайская APT31, экспериментируют, используя промпты с экспертными персонажами для автоматического анализа уязвимостей и генерации планов тестирования.

Параллельно появляются новые семейства вредоносного ПО, интегрирующие ИИ. В сентябре 2025 года GTIG обнаружила образцы под названием HONESTCUE. Этот загрузчик использует API Gemini для генерации кода на C#, который затем компилируется и выполняется непосредственно в памяти, не оставляя следов на диске. Такой подход затрудняет обнаружение традиционными сетевыми и статическими методами анализа.

Другой пример - фишинговый набор COINBAIT, маскирующийся под крупную криптобиржу. Анализ кода указывает на то, что его создание, вероятно, было ускорено с помощью ИИ-инструментов. Набор отличается сложной структурой и использует легитимные облачные сервисы для хостинга, что повышает его скрытность.

Новые тактики социальной инженерии и черный рынок ИИ

Злоумышленники нашли новый способ обмана пользователей, используя функцию публичного доступа к чатам в сервисах ИИ, включая Gemini. Они создают вредоносные инструкции, например, по «очистке диска», которые ведут к выполнению опасных команд в терминале (техника «ClickFix»). Ссылка на такой чат размещается на доверенном домене ИИ-сервиса, что повышает доверие жертвы.

На подпольных форумах также процветает рынок «взломанных» ИИ-сервисов. Яркий пример - инструментарий Xanthorox, который рекламируется как кастомизированный ИИ для генерации вредоносного кода. Расследование Google показало, что на самом деле он работает через взломанные коммерческие API, включая Gemini, используя открытые протоколы. Уязвимости в открытом ПО для ИИ часто эксплуатируются для кражи API-ключей, которые затем перепродаются на черном рынке.

Ответ Google: защита и сотрудничество

Компания Google предпринимает активные шаги по противодействию этим угрозам. Нарушители условий обслуживания блокируются, их проекты и аккаунты отключаются. Информация, полученная в ходе расследований, используется для усиления классификаторов безопасности и самой модели Gemini, делая ее более устойчивой к злоупотреблениям.

Google придерживается принципов ответственного развития ИИ, реализуя концепцию Secure AI Framework (SAIF). Компания также делится лучшими практиками с индустрией и сотрудничает с исследователями безопасности. Например, инструмент Big Sleep от Google DeepMind и Project Zero использует ИИ для поиска неизвестных уязвимостей в программном обеспечении. Экспериментальный агент CodeMender, основанный на Gemini, тестируется для автоматического исправления критических уязвимостей в коде.

Таким образом, хотя искусственный интеллект пока не привел к революционным прорывам в арсенале киберпреступников, он стал мощным усилителем их возможностей. Это требует от защитников постоянной бдительности, обмена разведданными и адаптации стратегий безопасности к быстро меняющемуся ландшафту угроз.

Индикаторы компрометации

Domains

369201v-coinbase.com
482901v-coinbase.com
543902-coinbase.com
562789-coinbase.com
582751v-coinbase.com
650421-coinbase.com
673442-coinbase.com
673827-coinbase.com
673908-coinbase.com
674933-coinbase.com
783521-coinbase.com
901562-coinbase.com
903182s-coinbase.com
coinbase-access.com
coinbase-diagnostic.com
coinbase-live.com
coinbase-myaccount.com
coinbase-myvault.com
coinbase-protected.com
coinbase-safeguard.com
coinbase-safevault.com
coinbase-securedvault.com
coinbase-storage.com
coldwallets-coinbase.com
defense-coinbase.com
diagnose-coinbase.com
diagnosis-coinbase.com
diagnostics-coinbase.com
jxnvbaubojxdjokjegad.supabase.co
mycoldstorage-coinbase.com
myhelpdesk-coinbase.com
mysafevault-coinbase.com
mysecureportal-coinbase.com
privacyvault-coinbase.com
protectedportal-coinbase.com
protectedvault-coinbase.com
refuge-coinbase.com
safeportal-coinbase.com
safestorage-coinbase.com
safestorages-coinbase.com
safetystorage-coinbase.com
safetyvault-coinbase.com
safewallet-coinbase.com
securedvault-coinbase.com
securesession-coinbase.com
securing-coinbase.com
securityvault-coinbase.com
storages-coinbase.com
www.369201v-coinbase.com
www.482901v-coinbase.com
www.543902-coinbase.com
www.562789-coinbase.com
www.563901-coinbase.com
www.582751v-coinbase.com
www.673442-coinbase.com
www.673827-coinbase.com
www.673908-coinbase.com
www.674933-coinbase.com
www.783521-coinbase.com
www.901562-coinbase.com
www.903182s-coinbase.com
www.coinbase-access.com
www.coinbase-diagnostic.com
www.coinbase-live.com
www.coinbase-myaccount.com
www.coinbase-myvault.com
www.coinbase-protected.com
www.coinbase-safeguard.com
www.coinbase-safevault.com
www.coldwallets-coinbase.com
www.defense-coinbase.com
www.diagnose-coinbase.com
www.diagnosis-coinbase.com
www.diagnostics-coinbase.com
www.mycoldstorage-coinbase.com
www.mysafevault-coinbase.com
www.mysecureportal-coinbase.com
www.privacyvault-coinbase.com
www.protectedportal-coinbase.com
www.protectedvault-coinbase.com
www.refuge-coinbase.com
www.safeportal-coinbase.com
www.safestorages-coinbase.com
www.safetystorage-coinbase.com
www.safetyvault-coinbase.com
www.safevault-coinbase.com
www.safewallet-coinbase.com
www.securedvault-coinbase.com
www.securesession-coinbase.com
www.securing-coinbase.com
www.securityvault-coinbase.com
www.storages-coinbase.com
xepokbvwehkbjezrvhip.supabase.co

URLs

https://369201v-coinbase.com/assets/index-BrEnAwwF.js
https://482901v-coinbase.com/assets/index-C6WH8GpL.js
https://482901v-coinbase.com/assets/index-DEVDSUe0.js
https://543902-coinbase.com/assets/index-DeL8qAnO.js
https://562789-coinbase.com/assets/index-DeL8qAnO.js
https://582751v-coinbase.com/assets/index-BrEnAwwF.js
https://650421-coinbase.com/assets/index-DeL8qAnO.js
https://673442-coinbase.com/assets/index-YYEyBBZM.js
https://673827-coinbase.com/assets/index-BrEnAwwF.js
https://673908-coinbase.com/assets/index-CuAX1fKX.js
https://674933-coinbase.com/assets/index-BAPPfhuJ.js
https://674933-coinbase.com/assets/index-YYEyBBZM.js
https://783521-coinbase.com/assets/index-DYYWoIVE.js
https://901562-coinbase.com/assets/index-DeL8qAnO.js
https://903182s-coinbase.com/assets/index-C6WH8GpL.js
https://atlas-extension.com/get
https://chat.deepseek.com/share/hjanvg8l6v8zjw4o4g
https://chatgpt.com/share/692c52b5-6b70-8003-9bb6-06aaf572d790
https://chatgpt.com/share/692d8f07-7ad4-8003-8fe0-d1d8241ef625
https://coinbase-access.com/assets/index-FDFiXUwQ.js
https://coinbase-diagnostic.com/assets/index-B8m3e3R7.js
https://coinbase-diagnostic.com/assets/index-BaKLnWJX.js
https://coinbase-live.com/assets/index-BAPPfhuJ.js
https://coinbase-myaccount.com/assets/index-BV4hWLt3.js
https://coinbase-myvault.com/assets/index-CrdBYvgf.js
https://coinbase-myvault.com/assets/index-oyhrcK0I.js
https://coinbase-protected.com/assets/index-Do6aKJRx.js
https://coinbase-safeguard.com/assets/index-BAPPfhuJ.js
https://coinbase-safevault.com/assets/index-BrEnAwwF.js
https://coinbase-securedvault.com/assets/index-CWrtR1vh.js
https://coinbase-storage.com/assets/index-E6h7BLrv.js
https://coinbase-storage.com/assets/index-FDFiXUwQ.js
https://coldwallets-coinbase.com/assets/index-5fhSUT6J.js
https://copilot.microsoft.com/shares/pages/Kw2XPkMWgPnpgymWFdE8B
https://defense-coinbase.com/assets/index-BmZ6FBUK.js
https://diagnose-coinbase.com/assets/index-5fhSUT6J.js
https://diagnose-coinbase.com/assets/index-XGuoDG7R.js
https://diagnosis-coinbase.com/assets/index-BmqouP2a.js
https://diagnosis-coinbase.com/assets/index-oyhrcK0I.js
https://diagnostics-coinbase.com/assets/index-DWynBMNL.js
https://gemini.google.com/corp/share/420ac2fa53c4
https://gemini.google.com/corp/share/d78d7b1834cc
https://gemini.google.com/share/420ac2fa53c4
https://gemini.google.com/share/8e1df1d88970
https://gemini.google.com/share/bced57407f20
https://gemini.google.com/share/d78d7b1834cc
https://grok.com/share/c2hhcmQtMw_8a579d0f-52e2-4c72-850c-fa3fdf749942
https://mycoldstorage-coinbase.com/assets/index-BV4hWLt3.js
https://myhelpdesk-coinbase.com/assets/index-zhBPQepg.js
https://mysafevault-coinbase.com/assets/index-BV4hWLt3.js
https://mysafevault-coinbase.com/assets/index-D0KUFuWT.js
https://mysecureportal-coinbase.com/assets/index-BV4hWLt3.js
https://nonnida.com/cleangpt
https://privacyvault-coinbase.com/assets/index-C0_1iAru.js
https://privacyvault-coinbase.com/assets/index-oyhrcK0I.js
https://protectedportal-coinbase.com/assets/index-BPxR1SYm.js
https://protectedportal-coinbase.com/assets/index-oyhrcK0I.js
https://protectedvault-coinbase.com/assets/index-DJmRaAE6.js
https://protectedvault-coinbase.com/assets/index-Do6aKJRx.js
https://putuartana.com/cleaner
https://putuartana.com/getatlas/update
https://refuge-coinbase.com/assets/index-5fhSUT6J.js
https://safeportal-coinbase.com/assets/index-Do6aKJRx.js
https://safestorage-coinbase.com/assets/index-DULbqLkb.js
https://safestorages-coinbase.com/assets/index-Do6aKJRx.js
https://safetystorage-coinbase.com/assets/index-bfhkLil3.js
https://safetystorage-coinbase.com/assets/index-BMUK7mS2.js
https://safetystorage-coinbase.com/assets/index-C1_8zNr9.js
https://safetystorage-coinbase.com/assets/index--z3e9aNL.js
https://safetyvault-coinbase.com/assets/index-Do6aKJRx.js
https://safetyvault-coinbase.com/assets/index-oyhrcK0I.js
https://safewallet-coinbase.com/assets/index-5fhSUT6J.js
https://safewallet-coinbase.com/assets/index-bfhkLil3.js
https://safewallet-coinbase.com/assets/index-C1_8zNr9.js
https://securedvault-coinbase.com/assets/index-BPxR1SYm.js
https://securedvault-coinbase.com/assets/index-oyhrcK0I.js
https://securesession-coinbase.com/assets/index-DEVDSUe0.js
https://securing-coinbase.com/assets/index-CcVVa612.js
https://securityvault-coinbase.com/assets/index-DJmRaAE6.js
https://securityvault-coinbase.com/assets/index-Do6aKJRx.js
https://storages-coinbase.com/assets/index-FDFiXUwQ.js
https://www.369201v-coinbase.com/assets/index-BrEnAwwF.js
https://www.482901v-coinbase.com/assets/index-C6WH8GpL.js
https://www.543902-coinbase.com/assets/index-DeL8qAnO.js
https://www.562789-coinbase.com/assets/index-DeL8qAnO.js
https://www.563901-coinbase.com/assets/index-CuAX1fKX.js
https://www.582751v-coinbase.com/assets/index-BrEnAwwF.js
https://www.673442-coinbase.com/assets/index-YYEyBBZM.js
https://www.673827-coinbase.com/assets/index-BrEnAwwF.js
https://www.673908-coinbase.com/assets/index-CuAX1fKX.js
https://www.674933-coinbase.com/assets/index-BAPPfhuJ.js
https://www.783521-coinbase.com/assets/index-sb-wiJfN.js
https://www.901562-coinbase.com/assets/index-DeL8qAnO.js
https://www.903182s-coinbase.com/assets/index-C6WH8GpL.js
https://www.coinbase-access.com/assets/index-FDFiXUwQ.js
https://www.coinbase-diagnostic.com/assets/index-B8m3e3R7.js
https://www.coinbase-live.com/assets/index-BAPPfhuJ.js
https://www.coinbase-myaccount.com/assets/index-BV4hWLt3.js
https://www.coinbase-myvault.com/assets/index-CrdBYvgf.js
https://www.coinbase-myvault.com/assets/index-gTeVfcZL.js
https://www.coinbase-protected.com/assets/index-Do6aKJRx.js
https://www.coinbase-safeguard.com/assets/index-BAPPfhuJ.js
https://www.coinbase-safevault.com/assets/index-BrEnAwwF.js
https://www.coldwallets-coinbase.com/assets/index-5fhSUT6J.js
https://www.defense-coinbase.com/assets/index-BmZ6FBUK.js
https://www.diagnose-coinbase.com/assets/index-XGuoDG7R.js
https://www.diagnosis-coinbase.com/assets/index-BmqouP2a.js
https://www.diagnostics-coinbase.com/assets/index-DWynBMNL.js
https://www.mycoldstorage-coinbase.com/assets/index-BV4hWLt3.js
https://www.mysafevault-coinbase.com/assets/index-BV4hWLt3.js
https://www.mysecureportal-coinbase.com/assets/index-BV4hWLt3.js
https://www.privacyvault-coinbase.com/assets/index-C0_1iAru.js
https://www.protectedportal-coinbase.com/assets/index-BPxR1SYm.js
https://www.protectedvault-coinbase.com/assets/index-Do6aKJRx.js
https://www.refuge-coinbase.com/assets/index-5fhSUT6J.js
https://www.safeportal-coinbase.com/assets/index-Do6aKJRx.js
https://www.safestorages-coinbase.com/assets/index-Do6aKJRx.js
https://www.safetystorage-coinbase.com/assets/index-bfhkLil3.js
https://www.safetystorage-coinbase.com/assets/index-BMUK7mS2.js
https://www.safetystorage-coinbase.com/assets/index-C1_8zNr9.js
https://www.safetyvault-coinbase.com/assets/index-Do6aKJRx.js
https://www.safevault-coinbase.com/assets/index-BD32pUOI.js
https://www.safewallet-coinbase.com/assets/index-5fhSUT6J.js
https://www.securedvault-coinbase.com/assets/index-BPxR1SYm.js
https://www.securesession-coinbase.com/assets/index-DEVDSUe0.js
https://www.securing-coinbase.com/assets/index-CcVVa612.js
https://www.securityvault-coinbase.com/assets/index-Do6aKJRx.js
https://www.storages-coinbase.com/assets/index-FDFiXUwQ.js

MD5

6148ac866a98b412acf9ba6ebd41d4a5
e4d30c315749ff4cb5c99957533b6f45

SHA256
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