Хактивисты Forbidden Hyena используют ИИ для создания инструментов атаки на российские компании

Специалисты BI.ZONE Threat Intelligence обнаружили командный сервер хактивистской группировки Forbidden Hyena и нашли на нём скрипты с явными признаками генерации через языковую модель. Группировка атакует российские органы власти и компании из сфер здравоохранения, энергетики, ретейла и ЖКХ. По данным BI.ZONE, это один из редких задокументированных случаев использования ИИ в атаках: в 2025 году на долю таких инцидентов приходилось менее 1% от общего числа.

Forbidden Hyena впервые заявила о себе в начале 2025 года. На сервере группировки аналитики обнаружили два PowerShell-скрипта: один предназначался для закрепления в системе, второй, для установки программы удалённого доступа AnyDesk на компьютер жертвы. Там же нашли Bash-скрипт для загрузки и запуска Sliver, инструмента, изначально созданного для легального тестирования на проникновение, но активно используемого хакерами.

Руководитель BI.ZONE Threat Intelligence Олег Скулкин пояснил:

ИИ-происхождение скриптов выдаёт сам код. В нём присутствуют подробные комментарии, понятные имена переменных и отладочные строки, признаки, характерные для текста, созданного языковой моделью. Хакеры обычно не оставляют таких подсказок и намеренно запутывают код. Здесь же он выглядел чистым и аккуратным, как учебное пособие.

По оценке BI.ZONE, сгенерированные скрипты пока остаются достаточно шаблонными. Языковая модель помогла написать работающий код, но не привнесла в него ничего нового с точки зрения техник проникновения. Тем не менее даже такой уровень снижает порог входа: группировке не нужен опытный разработчик, чтобы собрать набор инструментов для атаки.

Конечная цель Forbidden Hyena, шифрование данных и требование выкупа. На том же сервере обнаружили ранее неизвестный троян удалённого доступа BlackReaperRAT, через который хакеры могли скрытно управлять заражённым устройством. Для шифрования группировка использовала обновлённую версию программы-вымогателя Blackout Locker, переименованную в Milkyway.

Таксономия BI.ZONE делит группировки по мотивации: «гиены» - хактивисты, «волки» - финансово мотивированные, «оборотни» - шпионы. Forbidden Hyena сочетает черты первых двух типов: декларирует идеологические цели, но требует выкуп. Подобный гибрид, не редкость: группировка BO Team (она же Black Owl, Hoody Hyena) действует с 2024 года и точно так же уничтожает инфраструктуру, а затем шифрует данные ради денег.

Использование ИИ хактивистами, пока редкость, но вписывается в общий тренд. В феврале 2026 года Amazon сообщила, что русскоязычные хакеры применяли коммерческие ИИ-инструменты для взлома более 600 межсетевых экранов FortiGate в 55 странах. BI.ZONE прогнозирует рост доли таких атак и повышение качества генерируемого кода.