У 2025 році на горизонті кіберзагроз з’явився новий хактивістський кластер Forbidden Hyena, який поєднує класичні інструменти кіберзлочинців із генеративним штучним інтелектом. Дослідники BI.ZONE зафіксували у його арсеналі раніше невідомий троян віддаленого доступу BlackReaperRAT, а також скрипти з характерними ознаками генерації великими мовними моделями (LLM). Попри це, частка кібератак із використанням ІІ проти російських компаній у 2025 році, за їх оцінками, поки що не перевищує 1%.
Forbidden Hyena: хактивістський кластер проти критичної інфраструктури
За даними BI.ZONE Threat Intelligence, основними цілями Forbidden Hyena є державні установи Росії, а також організації з секторів охорони здоров’я, енергетики, ритейлу та ЖКГ. Ці галузі належать до критичної інфраструктури, де успішна компрометація може призвести до збоїв сервісів, порушення безперервності бізнесу й помітного соціального резонансу.
Формально позиціонуючись як хактивісти, учасники кластера демонструють ширший ринковий тренд. У другій половині 2025 року частка атак, мотивованих лише ідеологією, за оцінками аналітиків, знизилася з 20% до 12%. Хактивістські групи все частіше поєднують політичну риторику з класичним вимаганням, прагнучи монетизувати отриманий доступ до інфраструктури жертв.
ШІ‑генеровані скрипти: роль LLM в інфраструктурі атаки
PowerShell, Bash і легітимні засоби віддаленого доступу
На одному з керувальних серверів Forbidden Hyena експерти виявили кілька допоміжних скриптів, які з високою ймовірністю були згенеровані LLM. Серед них — два PowerShell‑скрипти і один Bash‑скрипт.
Перший PowerShell‑скрипт реалізує закріплення шкідливого ПЗ в системі: налаштовує автозапуск і гарантує повторний старт малварі після перезавантаження. Другий PowerShell‑скрипт встановлює на скомпрометовану машину AnyDesk — легітимний інструмент віддаленого доступу, який зловмисники використовують як зручний і малопомітний канал керування зараженими вузлами.
Bash‑скрипт відповідає за початкову стадію компрометації: він завантажує та запускає обфускований імплант фреймворку Sliver. Sliver широко застосовується як у легітимному пентестингу, так і в наступальних операціях, слугуючи модульною платформою для управління зараженими системами. Таким чином, Forbidden Hyena будує багатоступеневий ланцюжок атаки, комбінуючи спеціалізовані інструменти (RAT, шифрувальники) та легальний софт.
Ознаки коду, згенерованого штучним інтелектом
Ключовою ознакою застосування ІІ стали особливості стилю коду. У скриптах присутні відладочні повідомлення, численні докладні коментарі, «промовисті» назви змінних і функцій. Водночас майже повністю відсутня обфускація — навмисне заплутування коду, яке досвідчені зловмисники зазвичай використовують для ускладнення аналізу та детектування.
Ці характеристики відповідають типовому виводу генеративних моделей, який або не проходив ручного «загартування», або був змінений мінімально. На поточному етапі штучний інтелект у кібератаках здебільшого застосовується для прискорення розробки базової інфраструктури — інсталяторів, скриптів автоматизації та допоміжних утиліт. Водночас аналітики BI.ZONE фіксують тренд weaponization of AI — поступове ускладнення ролі ІІ в наступальних операціях, коли моделі будуть все більше інтегровані в повний ланцюжок атаки.
BlackReaperRAT: новий VBS‑троян і нестандартний канал керування
Ланцюжок доставки та закріплення
Центральною технічною знахідкою розслідування став BlackReaperRAT — раніше не описаний троян віддаленого доступу (Remote Access Trojan), написаний на VBScript (VBS). Малварь постачається жертвам у вигляді RAR‑архівів, які містять набір .bat‑ і .vbs‑файлів.
Після запуску користувач бачить легітимний PDF‑документ, що виконує роль відволікаючого контенту. Паралельно у фоновому режимі на систему непомітно встановлюється сам RAT. Для збереження постійної присутності BlackReaperRAT використовує ключі реєстру Windows, планувальник завдань та механізми автозавантаження.
Особливу увагу привертає канал команд‑і‑керування (C2). Замість класичного підключення до серверів керування троян періодично звертається до опису певного Telegram‑каналу, звідки зчитує зашифровані в тексті команди. Така схема ускладнює блокування інфраструктури атак і маскує трафік серед легітимної активності.
Функціонал BlackReaperRAT і небезпека для ізольованих мереж
BlackReaperRAT надає зловмисникам широкий набір можливостей постексплуатації. Зокрема, він уміє:
- виконувати довільні команди через cmd.exe;
- завантажувати та запускати додаткові модулі й файли;
- поширюватися через USB‑накопичувачі, підмінюючи файли ярликами.
Остання функція критично небезпечна для ізольованих сегментів мережі, де обмін даними часто здійснюється саме через змінні носії. Користувач, відкриваючи звичний файл з флеш‑накопичувача, фактично запускає ярлик, який активує троян, що дозволяє обійти відсутність прямого мережевого з’єднання.
Milkyway: шифрування інфраструктури та трансформація хактивізму
Фінальною метою атак Forbidden Hyena є шифрування інфраструктури жертви та подальше вимагання. Для цього використовується оновлена версія відомого шифрувальника Blackout Locker, що отримала нову назву Milkyway. Після закріплення в мережі, розвідки середовища й виходу на ключові вузли зловмисники запускають масове шифрування даних і вимагають викуп за відновлення доступу.
Такий сценарій демонструє перехід від суто ідеологічного хактивізму до гібридної моделі, де інформаційний тиск поєднується з прагматичною фінансовою мотивацією. Навіть політизовані угруповання будують власну «економіку атаки»: повторно використовують код, розподіляють ролі всередині кластера та цілеспрямовано обирають жертв із високим потенціалом викупу.
Попри те, що частка кібератак із застосуванням ІІ поки залишається невеликою, кейс Forbidden Hyena показує: штучний інтелект уже став робочим інструментом зловмисників. Організаціям варто завчасно адаптувати захист — посилити моніторинг активності PowerShell та Bash, контролювати використання легітимних засобів віддаленого доступу (AnyDesk, RDP тощо), обмежити роботу з USB‑носіями, впроваджувати системи виявлення аномалій та розвивати власні можливості threat intelligence. Чим раніше фактор ІІ буде врахований у моделях загроз, тим більші шанси вчасно розпізнати та нейтралізувати нові кластери на кшталт Forbidden Hyena.
