✔Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»

20 октября 2025 13 Новости / Преимущества стилей / Отступы и поля / Заработок / Изображения 0

В кампании, которая продолжается с сентября 2025 года, злоумышленники впервые начали использовать для кражи конфиденциальной информации малварь собственной разработки. При этом исследователи отмечают, что она написана с использованием ИИ.

Группировка Librarian Likho проводит сложные целевые кибератаки на организации в России и странах СНГ. Изначально исследователи «Лаборатории Касперского» включили ее в кластер Ghouls, так как злоумышленники не преследовали цель кибершпионажа. Однако позднее группа начала охотиться за файлами, характерными для систем автоматизированного проектирования.

В числе целей группы — промышленность, телекоммуникации, строительство, образование и энергетика. В июне 2025 года стало известно о ночных атаках группы против российских организаций. Подробный анализ активности, а также техники и тактики Librarian Likho были описаны в аналитическом отчете команды Kaspersky Cyber Threat Intelligence.

Для получения первоначального доступа злоумышленники прибегают к своей «классической» тактике. Они рассылают целевые фишинговые письма с запароленными архивами, внутри которых содержатся вредоносные исполняемые файлы. Обычно атакующие маскируют их под сообщения от реальных организаций. В качестве приманки используются файлы, имитирующие официальные документы (платежные поручения, коммерческие предложения, акты выполненных работ и так далее). Заражение происходит после того, как жертва откроет архив, извлечет и запустит его содержимое. Пароль к нему, как правило, указан в теле письма.

После этого на зараженном устройстве запускается граббер, который собирает документы, представляющие интерес для атакующих. Анализ кода показал, что злоумышленники пользовались ИИ-ассистентом для его разработки.

Малварь перебирает профили пользователей, зарегистрированных в зараженной системе, и собирает в архив файлы с расширениями .doc, .docx, .pdf, .txt, .xls, .xlsx, расположенные в папках Desktop, Downloads, Documents. После этого архив отправляется на электронную почту злоумышленников.

«Отличительной чертой Librarian Likho является то, что группа не использует собственные вредоносные программы. Однако на этот раз злоумышленники решили отступить от этого правила. В новой кампании атакующие обзавелись своими разработками. Причем все указывает на то, что они созданы с использованием ИИ-ассистента. Такой вывод мы сделали по наличию множества отладочных комментариев в коде граббера, которые злоумышленники не потрудились удалить», — говорит Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».

«Лаборатория Касперского» предупреждает о новой волне целевых атак хак-группы Librarian Likho (ранее — Librarian Ghouls), направленной на российские организации из сфер авиа- и радиопромышленности. В кампании, которая продолжается с сентября 2025 года, злоумышленники впервые начали использовать для кражи конфиденциальной информации малварь собственной разработки. При этом исследователи отмечают, что она написана с использованием ИИ. Группировка Librarian Likho проводит сложные целевые кибератаки на организации в России и странах СНГ. Изначально исследователи «Лаборатории Касперского» включили ее в кластер Ghouls, так как злоумышленники не преследовали цель кибершпионажа. Однако позднее группа начала охотиться за файлами, характерными для систем автоматизированного проектирования. В числе целей группы — промышленность, телекоммуникации, строительство, образование и энергетика. В июне 2025 года стало известно о ночных атаках группы против российских организаций. Подробный анализ активности, а также техники и тактики Librarian Likho были описаны в аналитическом отчете команды Kaspersky Cyber Threat Intelligence. Для получения первоначального доступа злоумышленники прибегают к своей «классической» тактике. Они рассылают целевые фишинговые письма с запароленными архивами, внутри которых содержатся вредоносные исполняемые файлы. Обычно атакующие маскируют их под сообщения от реальных организаций. В качестве приманки используются файлы, имитирующие официальные документы (платежные поручения, коммерческие предложения, акты выполненных работ и так далее). Заражение происходит после того, как жертва откроет архив, извлечет и запустит его содержимое. Пароль к нему, как правило, указан в теле письма. После этого на зараженном устройстве запускается граббер, который собирает документы, представляющие интерес для атакующих. Анализ кода показал, что злоумышленники пользовались ИИ-ассистентом для его разработки. Малварь перебирает профили пользователей, зарегистрированных в зараженной системе, и собирает в архив файлы с расширениями .doc, .docx, .pdf, .txt, .xls, .xlsx, расположенные в папках Desktop, Downloads, Documents. После этого архив отправляется на электронную почту злоумышленников. «Отличительной чертой Librarian Likho является то, что группа не использует собственные вредоносные программы. Однако на этот раз злоумышленники решили отступить от этого правила. В новой кампании атакующие обзавелись своими разработками. Причем все указывает на то, что они созданы с использованием ИИ-ассистента. Такой вывод мы сделали по наличию множества отладочных комментариев в коде граббера, которые злоумышленники не потрудились удалить», — говорит Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.