Хакерская группа, связанная с КНДР, за несколько месяцев похитила до 12 миллионов долларов в криптовалюте, задействовав инструменты на базе искусственного интеллекта вместо собственной сложной разработки вредоносного кода. Злоумышленники заразили более 2000 компьютеров, а основной мишенью стали разработчики, работающие с криптовалютами, NFT и проектами Web3. О кампании сообщили специалисты компании Expel, изучившие деятельность группировки HexagonalRodent.
Главная особенность атак кроется в подходе преступников к работе. Почти вся инфраструктура и инструменты собирались через готовые сервисы искусственного интеллекта, среди которых решения от OpenAI, Cursor и Anima. Участники группы пускали эти сервисы на генерацию вредоносного кода, сборку поддельных сайтов и прописывание фишинговых раскладок.
Атака стартовала с рассылки предложений о работе потенциальным жертвам. Сообщения уходили от имени несуществующих компаний, а для пущей убедительности авторы заводили полноценные сайты с описанием вакансий и условий сотрудничества. После завязывания контакта кандидату предлагали выполнить тестовое задание с загрузкой файла с кодом.
Заражение происходило ровно в момент открытия этого файла. Внутри сидел вредоносный компонент, который выгребал учётные данные и в ряде случаев давал доступ к криптокошелькам жертвы. Преступники быстро перехватывали контроль над средствами разработчика и уводили их на свои адреса.
При всём размахе операции атака не отличалась высокой технической сложностью. Участники группы наделали ошибок и оставили открытыми куски своей инфраструктуры. Исследователи обнаружили даже запросы, которые хакеры вводили в системы искусственного интеллекта для генерации кода, а также базу данных с кошельками пострадавших разработчиков.
Разбор кода вскрыл явные признаки автоматической генерации материала. Внутри крутились комментарии на английском языке и эмодзи, что совсем нехарактерно для классических вредоносных программ. Код шёл по типовым шаблонам и вылавливался стандартными средствами защиты без особых проблем.
Успех атак упёрся в грамотный выбор целей группировкой. Разработчики-одиночки и маленькие команды не всегда держат при себе профессиональные системы защиты. Простые инструменты в их отношении срабатывают почти безотказно.
Эксперты Expel обратили внимание на главное изменение в ландшафте угроз. Перемена связана не с ростом качества атак, а с доступностью технологий для широкого круга людей. Искусственный интеллект развязал руки исполнителям без глубокой технической базы, позволив им тянуть задачи, которые раньше требовали опыта и командной работы профессионалов.