Los hackers de Leek Likho utilizaron IA para adaptar ataques a empresas en Russia

El grupo Leek Likho utiliza inteligencia artificial para modificar troyanos y herramientas de ciberataque contra organizaciones en Russia, principalmente del sector gubernamental, según un informe de Kaspersky Lab. Los atacantes utilizan grandes modelos de lenguaje para cambiar scripts y nombres de archivos maliciosos para objetivos específicos.

Las campañas de Leek Likho han permanecido activas desde 2025 gracias al cambio constante de infraestructura y métodos de camuflaje. Los ataques se basan en ingeniería social, descarga multifase y herramientas legítimas como rclone.

Los atacantes obtienen acceso a través de Telegram, disfrazando archivos maliciosos como enlaces a servicios de intercambio de archivos. Dentro del archivo hay un archivo LNK con una doble extensión, por ejemplo, "Proekt_prikaza_681_o_pooshchrenii.pdf.lnk". Al abrirlo, se inicia una cadena de infección, se recopilan datos del dispositivo y se envían a los atacantes.

Para cada objetivo, se utiliza un archivo de acceso directo separado con un nuevo nombre, ligeramente diferente del anterior. Las herramientas maliciosas reciben nuevos nombres, similares a los nombres de aplicaciones conocidas. Los scripts también varían, lo que indica el uso de IA para generar herramientas maliciosas y aumentar la complejidad de su detección. Esto complica la búsqueda y reduce la efectividad de la protección.