Вьетнамские хакеры используют ИИ для создания вредоносных инструментов в кампании с трояном PureRAT

Кампания, впервые задокументированная в декабре 2025 года, начинается с фишинговых писем, маскирующихся под предложения о работе. Изначально письма содержали вредоносные вложения в формате ZIP или RAR. Однако, по последним данным, злоумышленники изменили тактику и теперь размещают архив на Dropbox, рассылая в письмах лишь ссылку для его скачивания. Вероятно, они рассчитывают, что загрузка файла с известного облачного сервиса вызовет меньше подозрений, чем прямое вложение.

Если жертва открывает архив, запускается цепочка заражения, ведущая к установке PureRAT или другого вредоносного ПО, например, HVNC (Hidden Virtual Network Computing). Среди имен архивов, обнаруженных аналитиками, встречаются такие названия, как «New_Remote_Marketing_Opportunity_OPPO_Find_X9_Series.zip» или «Duolingo_Marketing_Skills_Assessment_oct.rar». Архивы обычно содержат исполняемый файл, который затем используется для подмены легитимной библиотеки DLL (side-loading). В качестве легитимного приложения для этой атаки злоумышленники часто используют устаревшие версии Haihaisoft PDF Reader или Microsoft Excel.

Далее вредоносная DLL загружает пакетные скрипты (batch scripts). Именно в этих скриптах исследователи обнаружили явные признаки использования ИИ. Один из анализируемых файлов содержал нехарактерно подробные комментарии на вьетнамском языке, описывающие каждый шаг. Например, скрипт создает скрытую директорию, переименовывает локальные документы, распаковывает архив с паролем, загружает и выполняет закодированную нагрузку с удаленного сервера, а также добавляет механизм постоянства (persistence) в реестр Windows. После этого он открывает безвредный PDF-файл, чтобы усыпить бдительность жертвы.

Другой вариант скрипта содержал еще более явные улики. В его комментариях присутствовали эмодзи, такие как ✅ и 🔥. Многие модели ИИ, обученные на данных с платформ вроде Reddit, имеют склонность добавлять подобные символы в сгенерированный код. Кроме пакетных скриптов, исследователи обнаружили примеры кода на Python, который с высокой вероятностью также был написан с помощью ИИ. Этот код, действующий как загрузчик для финальной нагрузки HVNC, содержал пошаговую нумерацию, подробные пояснения и даже инструкции для самого злоумышленника, например: «Помни, вставь сюда shellcode в кодировке base64».

Происхождение угрозы указывает на Вьетнам. Помимо комментариев на вьетнамском языке, в коде используются пароли с доменом «@dev.vn», например «huna@dev.vn». Один из паролей, «hwanxkiem@dev.vn», похож на фонетический вариант названия района Ханоя - Hoàn Kiếm. Аккаунт на Gitlab, используемый для размещения вредоносного кода, также содержит отсылку к этому слову. Мотивация атак, скорее всего, является финансовой. Широкий спектр организаций-целей и разнообразные приманки указывают на массовый траловый фишинг, а не на целенаправленные операции. Исследователи предполагают, что злоумышленники могут продавать полученный доступ к корпоративным сетям другим киберпреступным группам.

Этот случай подтверждает общую тенденцию: искусственный интеллект становится инструментом демократизации киберпреступности. Теперь даже атаки средней сложности могут автоматизировать и проводить злоумышленники с относительно низким уровнем технических навыков. Эксперты подчеркивают, что организациям необходимо усиливать защиту, уделяя особое внимание обучению сотрудников распознаванию фишинга и внедрению строгих политик проверки вложений и ссылок из внешних источников.

IPv4

• 103.166.185.228
• 116.202.214.234
• 139.99.17.175
• 139.99.17.184
• 144.172.116.103
• 15.235.172.166
• 192.30.139.187
• 217.217.253.186

Domains

• dmca-wipo.com
• ginten555333.com

URLs

• http://116.202.214.234/huna
• http://139.99.17.175/test_exe/AdobeReader.exe
• http://139.99.17.175/test_exe/msimg32.dll
• http://139.99.17.175/test_exe/oledlg.dll
• http://139.99.17.175/test_exe/sv_chost.exe
• http://139.99.17.175/test_exe/version.dll
• http://139.99.17.184/doraemon
• http://139.99.17.184/huna
• http://144.172.116.103/huna
• http://196.251.86.145/huna
• http://196.251.86.145/huna2
• http://217.217.253.186/huna10
• http://217.217.253.186/huna9
• http://51.79.214.125/huna
• http://51.79.214.125/huna2
• http://51.79.214.125/huna3
• https://dl.dropboxusercontent.com/scl/fi/59d5r1yxdchrqvhfiyaq0/Executing_operations_to_the_highest_standard.zip?rlkey=ynlo8uc56506b9fa5sdomazhx&st=euu2j0jj&dl=0
• https://dl.dropboxusercontent.com/scl/fi/b268eenis4r9i8r3aaj1t/OPPO_FindX9_Candidate_Guide.rar?rlkey=241h69yf5n14lm5njd05kva5l&st=0vzw0az8&dl=0
• https://dl.dropboxusercontent.com/scl/fi/bn95kutel2n8gcqzm29pd/New_Remote_Marketing_Opportunity_OPPO_Find_X9_Series.zip?rlkey=4udwkctm0kffvl5o46ovmcub7&st=ipgw7lgs&dl=0
• https://dl.dropboxusercontent.com/scl/fi/co3uwts5yjwpkv81ah9d5/Global_Ads_Strategy_Role_Summary.zip?rlkey=x6rnh8dg6nykwhzsfg6e9z47u&st=aps5we2c&dl=0
• https://dl.dropboxusercontent.com/scl/fi/uefer36kfpiocoblp7g9n/HNR_Project_Progress_And_Development.zip?rlkey=izjft9z5gj6wruqla5zmg93up&st=78pi42mn&dl=0
• https://dmca-wipo.com/nauh
• https://ginten555333.com/Libraries/PythonCode
• https://ginten555333.com/Libraries/UnZipV2
• https://ginten555333.com/Libraries/VahGG.html
• https://ginten555333.com/LibraryInstalling/PyCharm
• https://gitlab.com/children157/mr-wolf/-/raw/main/mrwolf?inline=false
• https://gitlab.com/hwan5471422/hwan/-/raw/main/Final_Doraemon?inline=false
• https://gitlab.com/kimxhwan/kimxhwan/-/raw/main/kimxhwan?inline=false
• https://release-assets.githubusercontent.com/github-production-release-asset/135854144/9453630a-3a22-4a1f-b56a-87d594ec2bfe?sp=r&sv=2018-11-09&sr=b&spr=https&se=2025-10-20T06%3A18%3A28Z&rscd=attachment%3B+filename%3Drpcs3-v0.0.38-18249-0c4e7fc1_win64_msvc.7z&rsct=application%2Foctet-stream&skoid=96c2d410-5711-43a1-aedd-ab1947aa7ab0&sktid=398a6654-997b-47e9-b12b-9515b896b4de&skt=2025-10-20T05%3A17%3A50Z&ske=2025-10-20T06%3A18%3A28Z&sks=b&skv=2018-11-09&sig=J3%2BE%2BPBLC7cfn1Fvq0WjUkQOti4QSmFhK%2FBRwwgjtmA%3D&jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJnaXRodWIuY29tIiwiYXVkIjoicmVsZWFzZS1hc3NldHMuZ2l0aHVidXNlcmNvbnRlbnQuY29tIiwia2V5Ijoia2V5MSIsImV4cCI6MTc2MDkzOTI3NSwibmJmIjoxNzYwOTM3NDc1LCJwYXRoIjoicmVsZWFzZWFzc2V0cHJvZHVjdGlvbi5ibG9iLmNvcmUud2luZG93cy5uZXQifQ.Z1uQODdqrQTTXjrL_VMOha20XGXa9bNQBZfIiqB77Uo&response-content-disposition=attachment%3B%20filename%3Drpcs3-v0.0.38-18249-0c4e7fc1_win64_msvc.7z&response-content-type=application%2Foctet-stream
• https://uc052f7e086998a45432c8803ea1.dl.dropboxusercontent.com/cd/0/get/Cys-s2WZ0h5J8HdXmXhBONXB2CPYeannKu6zO764wruev4rRR2gH_4QFWwEgT_g-GYxRNGpHxuTs9BeB_2j4EqK0QAIzyf45dq3Mj9k38KBT_shW5ImD7FJW3dEQ1wfbCdduMKiJTc6T3b9jaCRBvPvZ/file?dl=1#

SHA256

• 06ad3e407d5370648350e64e11278fc974197ae26fa02457c5dea645d3936bc1
• 0a683540902704d640041438fd585bf4e0636d37c1711c1893bb09c10e854928
• 10debd8d5819879435d349855e7792b57b94334251357b3580dd4dd3311246c3
• 1280cba4e109220ce4b17e722a55f31977112df3fa170b417f67227483677cc5
• 12a7f1aec5303e3e2eee59d9616b7e440f9c877d0db76620e8768c85433f3762
• 21779c1ca04a01a58b31d6a2dabaaee4a83d839922535d6520e629699adaf6be
• 21aba2329d9a6f68fdc358c487a54523beb8ee7751ec69779f53df09b14f5e10
• 2caaf6ec466cd38dccd20a5555633e20d11ee3b345e0b93e12daabdffa676228
• 2d0da28f388a9870184d0ac3905cd61947cf18830245f204033200a27c2dc3c0
• 2e92c68a1d4447275e4f35e9726779c72388a6f74ddfad9b73f0c02aa5b480c4
• 31dbfc89186553536f88cde60228024edbcb7fb042da6be05d75653a87999cc0
• 397eed8ff076484896dd40fefa697f714d1f2a06e1dfacf90e821283f10b41e6
• 3e927da764492a8122c822ab566956a65f255bd6da9f312e8e72f4d9856b8225
• 415a2eded0537280c574ff8927c6ffafb7685487ce01fdee9185425ff09770ac
• 46dc25ffcae19255b07489403f4c1050bf7a71e5e678ffdf9b41d19b9e0467b4
• 4728b3b51c10ec8d03d4fa82172df4ea96c0c19249c230aa7e4202434c46ba19
• 49d3fe3a00d8d3e247a3462e334ecd204dc9378c48ba55f19fc2a6c07ca7fd6b
• 4f52905aef07da42553fb843022efcfa985ad7ee7fd8a0cc58cddcd65290ccf9
• 5044d19ed26c72423e1039cc8c02631639a21287d1f885500bc089c6375fa719
• 5524b58ed2ee28c592d08a884711cb503355491dc6b474ed95a842944e7ced3b
• 58f029907441888fcb38bc7ef3cb854f79f47a78ef8363b8420c7c95a60c63a7
• 5b5d67a4fb1ff53f39988d34ea2adf62f09d6aac685c2d17f6336202eff217ee
• 66fbf7bf5040308f4a194a6259d6490958d03ae3105964d53fd35e42a9a40197
• 6fe62e780bacbdf22c7cf522dc84d9a9757cf80980e43b5a3a6d4a98a1f4b61a
• 70defb76cc82faf19e7183aa8f92ccaf3942b39524ee80610a77aa02a690b762
• 7ee96809a375c35dc03abd02cd0acdd4849af5785f7c37679d4eabb739b455c0
• 834653eff148cb83dbfdb20ec6f769d2e454fdac4fe40bbd47bf4663f796dfec
• 8387e6fe5adcb90a42abdf9ed6cdfdbea66bb431f6aa7fc32d5f7137fc140090
• 8389c6564abc4a7556abdc72f399fb3339db9492628d25eda1a3cec954c0c68d
• 8a15a4a4d5158b8826b478a33e407bd1ffb39e010e0986a5547f114ffe6e9167
• 8c210acf7e491abdd73960cc6d2f3ead7872d7221af9e151cae650d6634b899c
• 98fef41aa11235e714b458259bba9720c2de0e88b7a190167bd0077ee1e038f4
• 9b94a6d16e357bf57e84db3a749f40231841f2a34cec414256d5c8f63facf84c
• 9fdc1691e1c96acff6cb18a26f135fabaec5ceed394b28dabac068a991c4f0e7
• a0c26e5fd249e284b403a74250cd1f5d34c6b90369b082c8050267f7efc6d15d
• a1f3c59c59eabfd89a6be69bea4d10e4a490ac6e9c931e8fa4c4b2c8e7580389
• a6cc3ee93342adc4ac9a0e9600504199688b20fea4e9e5a06d3b3a2b6fbfc075
• aec135d23f695c9338e1333a8c975544053e8c2615f842b73b085bc96906696d
• b04b506eb06303d00b3f02d0dbcd20d3bfe93e4030c6db1655136198ea40e9c3
• b398e081284b09c8c049e319e87d74bf4df4f0423efbab9202fdc64ed7ca9fd9
• ba2f77577811cbf5c1ba579e730e283a076157612a73137213296a3851d901ea
• bce2cd273f4610387c32bfb80ecd0402c70d97f89c57611e7f79344033da3e55
• c09bec5f1a9e222de8cf968ffa63492542f7c5860079105895e8908d366460f6
• c1c509f40ede7d4a33a092114bbab1e6b4d29fbf21f6ce5f2356902506b6c8f3
• c5ad8eaae4d107523300d4e6681a15a94848adb8f13516e0d00575fc32957997
• c5b1990c35e5f801878b8347b548356243dfb8396e22870f2db7c0d9ad9374ab
• d06ec13250708cab022d76b78adf8bbe3b4cf1d7f6e483f2624c18d232e3f896
• d293aa394efe4112ed95951aafc43e04975d8c9d715dcb170b4d3ae0cec8af5b
• d3fb96a634269b8fb1cc1edaa2c4fdcff60aab887da7de4dc9f7c968c9bb49b1
• d45eb4b8130132055b44ffe4462888d5bb90f11ac0c07312d09b8b8abc0b23ce
• da37825fb5428c6788db3296b0bfaaa8197704699bcdb240d8b032350faa59ae
• dc0a8a417b64193d507839c57c3718d5ccfcade6cb917ae6c729be166edc5b9b
• dcefa82d7ac6887a253effb54d611e8df15177a993c7d53e453e5ea92f404983
• de1ed295857e5551dd7ff1ff34f92d670ef237acf3c4326ddd94bf0956b6a807
• de2f6a3056f74e104e0e9134c2652662a8fc0e9ccf519e83c033b6df0a98ae05
• df38de5eb1f5d534e1a836fbf34552bc80d722bb5301976707ee2dd78997bfc5
• e59655948efb89b4d905dd4bbbac28c7a06e4a03ec5bc93b9ea1c0a43f91bfcf
• e62e0851ddf145c3c2c1fb1fbccb7252dce0edd427c8ba74d9b6ff813c36c728
• e927e64c4d88c19d708dca504bcf220fd25cbc6fa91e573eba97e52d745288fc
• ea0630d4582cbf033fa75d4ce1f1e8371181ed58d7961f0c98b66f458ca46c45
• ecb67b475457fdd3bfbb7a0911b657a1eb8343ca982e5037b062914d991e772e
• efe49c9134756beba5b475b5e396fdf72a917bb007310bb69d4299c10259ee42
• effba77be35fb75299883957d3acf9560970a054bc85d20457552e3511293cd0
• f2d07dd0dda0c0fd94427fa03b5fd83a73933904678b35afd8723130d65196e0
• f35958930f3f4e8a13f09c2c3eba4771652b6a03338913ddeb6b0278c306bec6
• f3c54064ae75e0f7aaec74acf749716d15f8f1856f002f5ccb3bcb9daf140171
• F83cf38fd1315530c6d325eb5082c1fe38e0037fdd28dec5e7e2bdd6cd75e3ed
• fae70495819c22d4563d2ece75b4dce210635ebc3136b69365b40564f26b7efa
• fcd644e03e1958122feb1b7163df49927bb4e4d09c51948b5950e5d809ecf955