Группировка Leek Likho (она же SkyCloak и Vortex Werewolf) продолжает атаковать российские организации и все активнее использует ИИ в своих операциях. Как сообщают исследователи «Лаборатории Касперского», в новых кампаниях злоумышленники применяют большие языковые модели для генерации вредоносных скриптов, имен файлов и различных артефактов под конкретные цели.

По данным исследователей, активность группы продолжается как минимум с 2025 года. Основными целями хакеров остаются российские организации из госсектора, однако атакам также подвергаются промышленные и строительные компании. При этом общая схема компрометации почти не изменилась: Leek Likho по-прежнему делает ставку на социальную инженерию, многоступенчатую загрузку и использование легитимных инструментов вроде Tor, OpenSSH и rclone.

Первоначальный доступ злоумышленники обычно получают, используя схемы социальной инженерии в Telegram. Они маскируют доставку вредоносного содержимого под легитимные файлообменные механизмы, например ссылки, имитирующие страницы загрузки файлов в Telegram. В некоторых случаях присылают ссылку на файлообменник Dropbox.

После перехода по такой ссылке пользователь скачивает архив, который во встроенном архиваторе Windows выглядит как обычный PDF-документ (например, «приказ о поощрении» или «представление на назначение»). Однако на деле внутри скрывается LNK-файл с двойным расширением (к примеру, Proekt_prikaza_681_o_pooshchrenii.pdf.lnk).

Если открыть такой файл, запускается цепочка PowerShell-скриптов. Сначала малварь распаковывает второй вложенный архив с набором инструментов, замаскированных под популярные приложения. Исследователи обнаружили там переименованные компоненты Tor и OpenSSH: datagrip.exe на самом деле оказался Tor-клиентом, messenger.exe — sshd.exe, а reaper.exe — sftp.exe.

После этого в системе создаются скрытые задачи планировщика Windows для закрепления доступа, и запускается Tor с SSH-туннелями. Через них злоумышленники получают удаленный доступ к зараженной машине. Для эксфильтрации данных группа использует переименованную версию rclone. Причем вредонос отдельно собирает содержимое USB-накопителей, копируя данные с подключенных флешек и внешних дисков.

Отдельное внимание в отчете исследователи уделяют признакам использования ИИ. Для каждой жертвы Leek Likho создает новый вариант файлов-приманок и вредоносных скриптов. Названия меняются минимально — например, отличается только номер «приказа», — однако сами скрипты каждый раз немного разные. В коде изменяются имена переменных, отдельные операции реализуются разными способами, а иногда добавляются бессмысленные действия, не влияющие на результат работы малвари.

При этом код не выглядит типично обфусцированным: переменные имеют осмысленные названия, а структура остается читаемой. По мнению специалистов, такие особенности указывают на генерацию скриптов с помощью LLM. Подобный подход помогает группировке обходить сигнатурное обнаружение и затрудняет поиск вредоносных компонентов в системе.

Еще одна особенность изученной исследователями кампании — использование Tor с транспортом obfs4 и SSH-туннелей для сокрытия сетевой активности. В «Лаборатории Касперского» отмечают, что, несмотря на постоянные изменения инфраструктуры и инструментов, поведение группировки остается достаточно узнаваемым для решений класса Detection and Response.