Рост сложности и профессионализма: как хактивисты Forbidden Hyena используют ИИ и легитимные инструменты

В декабре 2025 года аналитики обнаружили новую кампанию, в рамках которой распространялся ранее неизвестный троян удаленного доступа (RAT, Remote Access Trojan), получивший название BlackReaperRAT. Атака начиналась с распространения RAR-архивов, содержащих два файла: пакетный скрипт для запуска и обфусцированный VBS-скрипт, выступающий в роли загрузчика. После выполнения скрипт загружал отвлекающий PDF-документ с легитимного ресурса, одновременно подгружая и запуская основную полезную нагрузку - сам BlackReaperRAT.

Этот троян демонстрирует высокий уровень проработки механизмов живучести. Он закрепляется в системе одновременно несколькими способами: через автозагрузку реестра Windows, с помощью создания задач в планировщике заданий и путем копирования себя в каталог автозапуска текущего пользователя. Для управления зараженными системами злоумышленники используют нестандартный канал команд - описание публичного Telegram-канала, из которого вредоносная программа извлекает инструкции. Этот метод, известный как «dead drop», затрудняет отслеживание инфраструктуры управления. Функционал трояна включает выполнение произвольных команд, загрузку и запуск файлов, обновление себя и даже реализацию HTTP-шелла для постоянного взаимодействия с сервером управления. Кроме того, BlackReaperRAT способен распространяться через съемные носители, создавая скрытые копии себя и маскируя запуск под открытие легитимных файлов пользователя.

Параллельно в январе 2026 года был обнаружен обновленный образец программы-вымогателя, известной как Blackout Locker. В новой версии, сменившей название на Milkyway, изменился подход к демонстрации требования о выкупе. Если ранее записка сохранялась рекурсивно во всех каталогах, то теперь она размещается лишь в нескольких ключевых точках системы, таких как "C:\Windows\Temp\" или рабочий стол. Для ее постоянного отображения создается отдельное приложение, которое также активно закрепляется в системе через автозагрузку реестра, планировщик задач и даже с помощью службы Windows. Значительно расширился список процессов и служб, которые шифровальщик пытается завершить перед началом своей работы. В него вошли процессы, связанные с базами данных (Oracle, SQL), офисными приложениями (Microsoft Office), браузерами, средствами резервного копирования (Veeam) и, что критически важно, со службами антивирусной защиты (WinDefend, Sense). Это указывает на целенаправленную попытку нейтрализовать системы безопасности и восстановления.

Особый интерес представляет инфраструктура кластера Forbidden Hyena. На исследованных сетевых ресурсах хранился обширный арсенал инструментов для разных этапов атаки и операционных систем. Среди них - импланты на базе открытого фреймворка для постэксплуатации Sliver, обфусцированные с помощью инструмента Garble, а также вайпер для Linux-систем. Однако наиболее показательными являются скрипты, демонстрирующие признаки использования больших языковых моделей (LLM). Их выдает характерная структура кода с избыточными проверками, подробными комментариями и не всегда оптимальными, но работоспособными решениями.

Например, Bash-скрипт "systemd-cron" для Linux-систем скрупулезно проверяет наличие необходимых утилит ("wget", "pgrep"), права пользователя и статус запущенного процесса перед загрузкой и запуском импланта. Аналогично, PowerShell-скрипт "ssh.ps1" для Windows не просто создает скрытую учетную запись администратора, но и подробно, шаг за шагом, настраивает для нее специальные привилегии ("SeBatchLogonRight"), создает каталог для SSH-ключей и назначает сложные права доступа с помощью утилиты "icacls". Подобная детализация и модульность часто характерны для кода, сгенерированного ИИ по текстовому описанию задачи. Другие скрипты, такие как "any.ps1" для установки AnyDesk или "ntds.ps1" для кражи хэшей домена Active Directory через теневые копии, также следуют этой логике.

Использование легитимных инструментов, или «живи-за-землей» (Living-off-the-land), остается ключевой тактикой кластера. В его арсенале присутствуют известные утилиты для тестирования на проникновение, такие как PsMapExec и PowerView, консольный клиент PuTTY (plink.exe), средства для проксирования трафика (ProxyChains) и сетевой диагностики (Netcat). Это позволяет атакующим сливаться с легитимной активностью в сети, минимизируя шансы на обнаружение системами класса IDS/IPS (системы обнаружения и предотвращения вторжений).

Таким образом, активность кластера Forbidden Hyena демонстрирует конвергенцию современных трендов. С одной стороны, наблюдается рост профессионализма: используются сложные механизмы закрепления в системе, нестандартные каналы управления и инструменты для постэксплуатации. С другой стороны, злоумышленники активно экспериментируют с новыми технологиями, такими как генерация кода с помощью ИИ, чтобы автоматизировать рутинные задачи и расширять свой инструментарий. Для защищающихся сторон это означает необходимость углубленного анализа поведения, а не только сигнатурных совпадений. Крайне важно мониторить аномальное использование легитимных административных утилит и скриптов, а также внедрять принципы минимальных привилегий и сегментацию сети, чтобы ограничить перемещение злоумышленников даже в случае успешного проникновения. Детальный анализ арсенала и техник кластера, включая примеры кода, доступен в исследовании BI.ZONE Threat Intelligence.

IPv4

• 193.233.48.98
• 2.59.163.169

Domains

• big-tree.ru
• confluence.dada-tuda.ru
• dada-tuda.ru

URLs

• https://big-tree.ru/.ss/s.php
• https://confluence.dada-tuda.ru/.w/wrgdfregrtgawreg.vbs
• https://t.me/+QFbPfHfSq3E0N2M6

SHA256

• 01e0960c04097f73dbaaa45025370763ed26f488538c7195203dd3584d145891
• 19eb63db7fa79fae746e1f2b4d3bc5c4fbd0e7a7a9e372e7345cddd6cb0020c1
• 19fd3337b21a78c86880a4eb47657a1cccd08f81e8196b19e508e8820d7ec741
• 1b5a73cafa33d82e994e8928279a3b97b0c424422bf678284ee9877c00de2c48
• 1e20360e439594eeb38782b6dbf8de1de214a0b0f657d6c83c6c7a150498d6f4
• 1eb19f45b8b228785d6f9e3736de902b07422b1911790e36a3a1a7dd35ae0b06
• 3e59379f585ebf0becb6b4e06d0fbbf806de28a4bb256e837b4555f1b4245571
• 3e9d22280a28ec73b6e84550febb8425d9c660f9777e2e4d3b5baaedea263cbe
• 3fed834849907bdb3ae5fbd6c7a17e67256edf1d2fde2f1473d8dc4dfccfe6e6
• 40fc5e5c4bc7ac0880dcf1635acd01c09dba0411ef7ac4f4cc0e309412aae348
• 4ccd9e987f918500ddfc538d96b78ab4e6383b838e3e508311fd6ae815bd156f
• 4fbd2f5b4625fa46b5706748dbb15d3f58fbeda723fc644d0db9174a78cbade1
• 50479953865b30775056441b10fdcb984126ba4f98af4f64756902a807b453e7
• 507e8666c239397561c58609f7ea569c9c49ddbb900cd260e7e42b02d03cfd87
• 5df07f2b3ddae4b24d05926167a4a5968e2748efe744e4600f968be9abd293a2
• 61a6878a3a864df7664b2729e9ae3b5448dcd1c087cbb36b6a7827d83061c127
• 71eba7b77838fffb0754852a9335555468dd161f87eb5ce048bceeb4d66ba64f
• 74056c6fe7d5670c41e56c2d00f27880cf47784caffde890ec3f79c0276c99b8
• 7eb58ca2d1bcc354a1a722fb8025d88289e4ec3ecbf0d7d612b7b2d1ee2e26a3
• 8f2d99c8f48c1e73c69666218fa7b791ed5ff7900ee66cf1ea24a711529971ef
• 9129f200ec9a89896005ee67457f57ff250f8ebef7ca1ccc75a1b8df42fe9b19
• b94fab0b5c5854055c28b8ab3ce2d579ec9f66140251be8209729464fa717556
• c0621954bd329b5cabe45e92b31053627c27fa40853beb2cce2734fa677ffd93
• c3dc5c64193f849ca5048d0e81ee1778ffc086087a20de1e09aef68a8bd560b2
• dd0983d7b298743ab90fd6b9eff7c24cffa33c2678d82e971a69eeb3fda0ca98
• dd965684ec191206014e72b302492a5c6ccb285ff4afe4f39cf760f6dccfc129
• f3064e852a2dd178aeb950c914f42689bf075ccaddf881938c4f7ff6b418d0f4