Специалисты BI.ZONE Threat Intelligence обнаружили командный сервер хактивистской группировки Forbidden Hyena и нашли на нём скрипты с явными признаками генерации через языковую модель. Группировка атакует российские органы власти и компании из сфер здравоохранения, энергетики, ретейла и ЖКХ. По данным BI.ZONE, это один из редких задокументированных случаев использования ИИ в атаках: в 2025 году на долю таких инцидентов приходилось менее 1% от общего числа.
Читайте также: Хакеры атакуют разработчиков через фальшивые проекты на Next.js, вредоносный код запускается прямо при открытии
Forbidden Hyena впервые заявила о себе в начале 2025 года. На сервере группировки аналитики обнаружили два PowerShell-скрипта: один предназначался для закрепления в системе, второй, для установки программы удалённого доступа AnyDesk на компьютер жертвы. Там же нашли Bash-скрипт для загрузки и запуска Sliver, инструмента, изначально созданного для легального тестирования на проникновение, но активно используемого хакерами.
Руководитель BI.ZONE Threat Intelligence Олег Скулкин пояснил:
ИИ-происхождение скриптов выдаёт сам код. В нём присутствуют подробные комментарии, понятные имена переменных и отладочные строки, признаки, характерные для текста, созданного языковой моделью. Хакеры обычно не оставляют таких подсказок и намеренно запутывают код. Здесь же он выглядел чистым и аккуратным, как учебное пособие.
По оценке BI.ZONE, сгенерированные скрипты пока остаются достаточно шаблонными. Языковая модель помогла написать работающий код, но не привнесла в него ничего нового с точки зрения техник проникновения. Тем не менее даже такой уровень снижает порог входа: группировке не нужен опытный разработчик, чтобы собрать набор инструментов для атаки.
Читайте также: Мошенники придумали, как красть аккаунты без кода из SMS — через последние цифры входящего звонка
Конечная цель Forbidden Hyena, шифрование данных и требование выкупа. На том же сервере обнаружили ранее неизвестный троян удалённого доступа BlackReaperRAT, через который хакеры могли скрытно управлять заражённым устройством. Для шифрования группировка использовала обновлённую версию программы-вымогателя Blackout Locker, переименованную в Milkyway.
Таксономия BI.ZONE делит группировки по мотивации: «гиены» - хактивисты, «волки» - финансово мотивированные, «оборотни» - шпионы. Forbidden Hyena сочетает черты первых двух типов: декларирует идеологические цели, но требует выкуп. Подобный гибрид, не редкость: группировка BO Team (она же Black Owl, Hoody Hyena) действует с 2024 года и точно так же уничтожает инфраструктуру, а затем шифрует данные ради денег.
Использование ИИ хактивистами, пока редкость, но вписывается в общий тренд. В феврале 2026 года Amazon сообщила, что русскоязычные хакеры применяли коммерческие ИИ-инструменты для взлома более 600 межсетевых экранов FortiGate в 55 странах. BI.ZONE прогнозирует рост доли таких атак и повышение качества генерируемого кода.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
