Группа Leek Likho применяет искусственный интеллект для модификации троянов и инструментов кибератак на организации в России, преимущественно из госсектора, говорится в отчёте «Лаборатории Касперского». Злоумышленники используют большие языковые модели для изменения скриптов и названий вредоносных файлов под конкретные цели.
Кампании Leek Likho остаются активными с 2025 года благодаря постоянной смене инфраструктуры и методов маскировки. Атаки строятся на социальной инженерии, многоступенчатой загрузке и легитимных инструментах, таких как rclone.
Злоумышленники получают доступ через Telegram, маскируя вредоносные файлы под ссылки на файлообменники. Внутри архива находится LNK-файл с двойным расширением, например «Proekt_prikaza_681_o_pooshchrenii.pdf.lnk». При открытии запускается цепочка заражения, данные с устройства собираются и отправляются злоумышленникам.
Для каждой цели используется отдельный файл-ярлык с новым именем, незначительно отличающимся от предыдущего. Вредоносные инструменты получают новые имена, похожие на названия известных приложений. Скрипты также варьируются, что свидетельствует о применении ИИ для генерации вредоносных инструментов и повышения сложности их детектирования. Это усложняет поиск и снижает эффективность защиты.