ИБ-эксперты зафиксировали необычный случай — хакер непреднамеренно раскрыл свои методы и цифровые привычки после того, как установил программное обеспечение безопасности Huntress на собственный компьютер. По словам специалистов компании, инцидент дал уникальное представление о том, как современные хакеры используют искусственный интеллект, автоматизацию и инструменты OSINT в своей повседневной деятельности.
Как уточняется в отчёте Huntress, злоумышленник нашёл компанию через рекламу Google, когда искал решения для обеспечения безопасности своей инфраструктуры. Он активировал бесплатную пробную версию и загрузил агент мониторинга, который сразу начал фиксировать все действия на устройстве.
Аналитики смогли идентифицировать его личность по имени хоста, которое ранее фигурировало в расследованиях, а также по истории браузера. Поведение пользователя указывало на активный интерес к автоматизации фишинга, сокрытию трафика и работе с платформами для генерации вредоносного контента.
На протяжении трёх месяцев наблюдения специалисты зафиксировали использование разнообразных инструментов. Среди них:

Make.com — для автоматизации рутинных задач и взаимодействия между сервисами;
API Telegram Bot — для управления ботнетами и распространения фишинговых ссылок;
Google Translate — для перевода шаблонов писем на разные языки при подготовке атак;
Censys — для поиска серверов с развернутыми прокси-фреймворками типа Evilginx;
LunaProxy и Nstbrowser — сервисы резидентных прокси, использовавшиеся для сокрытия IP-адресов;
AI-генераторы текстов и таблиц — для создания фишинговых сообщений и каталогизации украденных данных.

Хакер также изучал финансовые компании, поставщиков программного обеспечения и агентства недвижимости, подбирая жертв с высокой потенциальной отдачей. Был зафиксирован доступ к даркнет-площадке STYX Market, а также попытки использовать ROADtools — набор инструментов для атак на систему идентификации Azure AD.
Инфраструктура, связанная с этим злоумышленником, размещалась у канадского хостинг-провайдера VIRTUO. За две недели с неё было зафиксировано не менее 2471 попытки входа в чужие аккаунты, часть из которых сопровождалась созданием вредоносных почтовых правил и подменой токенов доступа.
Многие действия были нейтрализованы благодаря активным системам обнаружения в самой Huntress, как резюмировали специалисты компании.