Компания OpenAI заявила о блокировке трёх хакерских кластеров, которые использовали ChatGPT в попытках автоматизации и усовершенствования вредоносных сценариев. Как сообщили представители компании во вторник, нейросеть пытались задействовать для создания троянов, утилит удалённого доступа и фишинговых инструментов.
Один из разоблачённых эпизодов связан с русскоязычным злоумышленником, которого специалисты OpenAI заподозрили в участии в киберпреступной группе. По их словам, пользователь применял ChatGPT для построения и отладки компонентов трояна удалённого доступа (RAT), способного незаметно похищать учётные данные. В дополнение к этому оператор использовал несколько учётных записей, тестируя разные варианты реализации функций обхода защиты.
В OpenAI сообщили, что аккаунты злоумышленника совпадают с публикациями в Telegram-каналах, связанных с киберпреступной активностью на русском языке. Хотя модели ИИ отказывались выполнять прямые запросы на создание вредоносного кода, обойти ограничения удавалось за счёт генерации фрагментов нейтрального программного кода. Из этих фрагментов позже собирались инструменты для обфускации, перехвата буфера обмена и передачи информации через Telegram-ботов. В компании подчеркнули, что отдельные элементы не являются вредоносными сами по себе, но могут быть использованы в совокупности для атак.
Отмечается, что запросы, отправленные этому кластеру, отличались разнообразием: от простых скриптов массовой генерации паролей до сложных задач с глубокой проработкой функционала под Windows. Представители OpenAI обратили внимание, что хакер последовательно использовал один и тот же код, что указывает на фазу активной разработки, а не разовые тестирования.
Второй блок активности был связан с операторами из Северной Кореи. OpenAI сопоставила эти действия с ранее описанной кампанией, о которой в августе 2025 года сообщали аналитики Trellix. Тогда речь шла о фишинговых атаках на южнокорейские дипломатические учреждения с использованием трояна Xeno RAT. Нынешние участники, по данным OpenAI, занимались созданием элементов C2-инфраструктуры, разработкой расширений для macOS Finder, настройкой VPN для Windows Server и адаптацией браузерных расширений из Chrome под Safari.
Кроме того, они использовали ChatGPT для генерации фишинговых писем, а также изучали способы загрузки DLL, исполнения кода в памяти, перехвата API Windows и кражи паролей. В компании отметили явную ориентацию на повышение эффективности через автоматизацию и применение облачных сервисов, включая GitHub.
Третий заблокированный кластер был связан с хакерской группой из Китая, которую специалисты Proofpoint ранее отслеживали под обозначением UNK_DropPitch (также известной как UTA0388). По оценкам экспертов, она специализируется на атаках на инвестиционные компании, в том числе в контексте промышленного шпионажа, нацеленного на тайваньскую микроэлектронику.