Мир кибербезопасности часто зациклен на сценарии «судного дня»: продвинутом автономном ИИ, который, подобно цифровой суперсиле, сможет обходить любые брандмауэры. Однако недавнее расследование выявило гораздо более насущную и практическую угрозу. Вместо создания «суперхакеров», генеративный ИИ выступает в роли умножителя силы для посредственных и неквалифицированных преступников, позволяя им проводить высокодоходные и крупномасштабные операции.
Недавний отчет компании Expel, специализирующейся на кибербезопасности, раскрыл деятельность спонсируемой северокорейским государством группировки под названием «HexagonalRodent». Используя коммерческие инструменты ИИ, они украли криптовалюту на сумму около 12 миллионов долларов всего за три месяца.
Кампания в стиле «Vibe Coding»
Операция HexagonalRodent отличалась не техническим гением, а умелым использованием общедоступных ИИ-инструментов от таких компаний, как OpenAI, Cursor и Anima. Группировка нацелилась на специфическую нишу: разработчиков, работающих над небольшими проектами в сферах Web3, NFT и криптовалют.
Хакеры использовали изощренную тактику социальной инженерии:
1. Фейковый рекрутинг: С помощью инструментов ИИ для веб-дизайна они создавали профессионально выглядящие сайты для подставных технологических компаний.
2. Фишинг через «тестовые задания»: Жертв заманивали фиктивными предложениями о работе, в конечном итоге предлагая им выполнить «тестовое задание по программированию».
3. Внедрение вредоносного ПО: Эти задания были заражены вредоносным кодом для кражи учетных данных, предназначенным для захвата криптокошельков.
«У этих операторов нет навыков написания кода… ИИ фактически позволяет им делать вещи, которые в противном случае они просто не смогли бы осуществить», — говорит Маркус Хатчинс, исследователь безопасности, обнаруживший группировку.
Цифровые отпечатки: эмодзи и английский язык
Несмотря на успех, хакеры оставили неоспоримые улики того, что их работа была создана ИИ. Исследователи безопасности отметили несколько характерных признаков в коде:
— Код, переполненный эмодзи: В вредоносном ПО часто использовались эмодзи — распространенная особенность больших языковых моделей (LLM), которую профессиональные программисты редко применяют при ручном написании кода.
— Нетипичные аннотации: Код был густо усеян комментариями на английском языке, что нехарактерно для северокорейских операторов, но является стандартом для результатов работы ИИ.
— Стандартные паттерны: Хотя вредоносное ПО следовало предсказуемым шаблонам, которые современные средства защиты должны обнаруживать, хакерам удавалось оставаться незамеченными, выбирая целью отдельных разработчиков, у которых не было корпоративного ПО класса «обнаружение и реагирование на конечных точках» (EDR).
«Преступный синдикат» с множителем силы
Это открытие подчеркивает критический сдвиг в методах ведения кибервойны Северной Кореей. Режим сталкивается со структурной проблемой: у него есть огромный штат низкоквалифицированных IT-специалистов, но крайне мало элитных хакеров.
ИИ решает эту проблему, позволяя государству масштабировать свои операции, не повышая уровня экспертизы. Вместо полноценной команды разработчиков один посредственный оператор может использовать ИИ для написания эксплойтов, создания сайтов и оттачивания сценариев социальной инженерии. Это превратило северокорейские кибероперации в нечто, напоминающее государственный преступный синдикат, использующий украденные средства для обхода международных санкций и финансирования государственных интересов, включая ядерную программу.
Слепое пятно индустрии
Последствия для индустрии кибербезопасности весьма значительны. В то время как большая часть текущих дискуссий сосредоточена на будущих рисках «автономного ИИ для хакинга», реальная опасность проявляется прямо сейчас через нецелевое использование существующих коммерческих инструментов.
Крупные поставщики ИИ уже ведут борьбу. OpenAI и Anthropic сообщили об обнаружении и блокировке северокорейских аккаунтов. Cursor и Anima также работают над тем, чтобы закрыть злоумышленникам доступ к своим платформам.
Однако до тех пор, пока эти инструменты остаются доступными, они будут продолжать снижать порог вхождения в киберпреступность. Угроза — это не гипотетический «Скайнет», а способность неквалифицированных субъектов действовать с беспрецедентной скоростью и масштабом.
Заключение: ИИ не обязательно создает более изощренных хакеров, но он позволяет посредственным специалистам работать на профессиональном уровне, превращая низкоквалифицированную киберпреступность в высокодоходную отрасль, спонсируемую государством.
