Киберпреступники начали использовать языковые модели для обхода систем защиты
Хакерская группировка Silent Werewolf (также известная как XDSpy), более 14 лет атакующая организации в странах СНГ, стала применять большие языковые модели (LLM) не только для разработки вредоносного ПО, но и для обхода защитных систем компаний. С начала 2025 года зафиксированы десятки случаев использования этой технологии при атаках на энергетические и промышленные предприятия. Однако эксперты расходятся во мнениях относительно точного механизма применения LLM в кибератаках.
По данным Bi: Zone, партнера «Сбера», злоумышленники использовали языковую модель Llama* (принадлежит Meta, деятельность которой запрещена на территории РФ) для обхода «песочницы» — системы анализа подозрительных файлов.
Вредоносный загрузчик, распространяемый через фишинговые письма, при обнаружении «песочницы» вместо основной вредоносной нагрузки устанавливал легитимный файл LLM, который система защиты признавала безопасным. После успешного обхода защиты загрузчик получал с серверов злоумышленников основной вредоносный модуль — стилер XDigo, предназначенный для кражи конфиденциальных данных.