Злоумышленники начали использовать ИИ-вредонос, который сочетает Telegram и LLM для атак без единой строки кода

remote access Trojan

Исследователи кибербезопасности описали новый класс вредоносного программного обеспечения, в котором искусственный интеллект полностью заменяет традиционные механизмы управления и контроля (C2). Разработка объединяет публичный Telegram-бота с API большой языковой модели (LLM), устраняя необходимость в знании синтаксиса командной строки со стороны оператора. Этот подход представляет собой значительный сдвиг в доступности сложных кибератак для злоумышленников без технической подготовки.

Описание

Архитектура вредоноса радикально упрощена по сравнению с классическими схемами. Оператор вводит инструкции на обычном языке в чат Telegram, а LLM-компонент переводит их в исполняемые shell-команды для PowerShell или bash. Жертве остаётся лишь выполнить полученный код. Никаких запросов на знание аргументов утилит, флагов или синтаксиса интерпретатора не требуется. Получение команд, вывод результатов работы и кража файлов осуществляются через одного и того же Telegram-бота - отдельная инфраструктура для эксфильтрации данных отсутствует.

Трафик взаимодействия полностью идёт по протоколу HTTPS к легитимным облачным API Telegram. Это лишает защитные решения возможности блокировать домены или IP-адреса злоумышленника. С точки зрения сетевого мониторинга, передача команд, результатов и файлов неотличима от обычного обмена сообщениями и вложениями между пользователями мессенджера.

Ключевым нововведением является прослойка LLM, которая заменяет синтаксис командной строки на обычный текст. Концепция вдохновлена предыдущими работами по использованию социальных сетей для удалённой выдачи инструкций, однако текущая реализация устраняет главный барьер - необходимость в технической квалификации оператора. Предоставленный анализ показывает, что на момент 8 июня 2026 года образец этого вредоноса не обнаруживается ни одним из 63 антивирусных движков на платформе VirusTotal (0/63).

Процесс атаки разворачивается в четыре последовательные фазы. На первом этапе, сразу после запуска, имплант отправляет на Telegram-бот атакующего отчёт о заражённой системе. Данные собираются до того, как жертве будет выдана хотя бы одна команда. Информация включает публичный IP-адрес, имя хоста, версию операционной системы и имя пользователя, вошедшего в систему. Это обеспечивает злоумышленнику полную ситуационную осведомлённость ещё до начала активных действий.

Вторая фаза превращает Telegram-бота в единственный канал управления. Имплант опрашивает API Telegram-бота каждые 5 секунд на предмет новых сообщений от оператора. Тайм-аут опроса составляет 30 секунд. Для фильтрации используется простейший механизм аутентификации: принимаются только сообщения с жёстко прописанного в коде chat ID оператора. Вывод shell-команд и эксфильтрированные файлы возвращаются обратно по тому же каналу. Все данные передаются по HTTPS к облачным API Telegram, что маскирует вредоносную активность под трафик легитимного клиента.

Третья фаза реализует трансляцию естественного языка в команды. Каждое сообщение оператора отправляется на публичный API LLM. Модель возвращает ровно один токен действия - строку shell-команды или встроенную инструкцию. Примеры таких инструкций: DOWNLOAD_FILE, SCAN_NETWORK или SCAN_PORTS. В возвращаемом токене нет пояснительного текста или разметки - только исполняемая строка. На данный момент LLM действует как ограниченный переводчик с набором из пяти фиксированных форматов. Однако, как отмечают эксперты, тривиальное изменение промпта снимет это ограничение. В таком случае модель начнёт генерировать произвольный код по запросу, что полностью лишит смысла любые сигнатурные методы обнаружения.

Четвёртая фаза включает выполнение и кража данных. Shell-команды исполняются через PowerShell на Windows или bash на Linux и macOS. Вывод stdout/stderr передаётся оператору через Telegram. Файлы эксфильтрируются через API загрузки документов Telegram, размер файла ограничен 50 мегабайтами на один элемент. Паттерны трафика при такой загрузке полностью идентичны отправке файла в обычном диалоге.

Для разведки сети вредонос упрощённо выполняет параллельное сканирование всех непубличных IP-адресов, описанных в RFC 1918, включая подсети Docker, APIPA, OpenVPN, хот-спотов iPhone и корпоративных VPN. Сканирование ограничено тайм-аутом присоединения потока в 15 секунд, чтобы не блокировать основной цикл управления.

В коде вредоноса жёстко прописаны три учётных данных в открытом виде: токен Telegram-бота, chat ID оператора и ключ API сервиса LLM. Кража или перехват этих данных позволит атакующему перехватить управление над имплантом, но также даёт защитникам возможность обнаружить факт присутствия вредоноса в сети.

Сочетание LLM, мессенджера и отсутствия собственной инфраструктуры делает этот класс угроз особенно сложным для обнаружения. Трафик к API Telegram является легитимным для любой корпоративной сети, где разрешён доступ к мессенджеру. Нулевое обнаружение на VirusTotal указывает на то, что сигнатурные методы на данный момент не работают. Защитникам необходимо фокусироваться на поведенческом анализе и аномалиях в использовании API продуктов на основе искусственного интеллекта, а также на строгих правилах доступа к внешним LLM-провайдерам.

Индикаторы компрометации

SHA256

  • d85a5c2cf466d01e17110ee39ca456b1be0b6514e669d0095d1f77c84a8d98c1

Telegram Bot Token

  • 8768397278:AAEQxFzq38zqAqPOe0L9lPg78RdE-HedwMQ

Telegram Operator Chat ID

  • 963908231

Groq API Key

  • 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

LLM model

  • llama-3.1-8b-instant

Комментарии: 0