- 26,771
- 46
- 8 Ноя 2022
Касперский нашел признаки использования LLM в атаках Leek Likho.
Leek Likho продолжила атаки на российские организации, в основном на госструктуры, и начала активнее менять вредоносные инструменты под разные цели. Касперский считает, что группировка могла использовать большие языковые модели для генерации вариантов скриптов, имен файлов и служебных артефактов. Схема заражения при этом осталась прежней: жертве присылают архив под видом служебного PDF, а после клика в системе разворачивается связка PowerShell, Tor, OpenSSH и rclone.
В новом отчете Касперский разобрал активность Leek Likho в 2026 году, новую технику кражи файлов и признаки возможного использования ИИ. Группировку Leek Likho, также известную как SkyCloak и Vortex Werewolf, впервые описали в 2025 году после серии целевых атак на организации государственного сектора России и Беларуси. Кампания получила название Операция SkyCloak . С февраля по апрель 2026 года специалисты Касперского наблюдали продолжение активности и обнаружили новую технику кражи файлов.
Leek Likho держится на сочетании социальной инженерии, многоступенчатой загрузки и легитимных инструментов. Злоумышленники постоянно меняют инфраструктуру, скрипты, названия файлов и способы маскировки, но общий принцип атаки почти не меняется: сначала жертву убеждают открыть архив, затем через PowerShell устанавливают компоненты удаленного доступа, поднимают скрытый канал связи через Tor и SSH, после чего забирают данные с помощью rclone.
Первоначальный доступ злоумышленники получают через Telegram. Жертве присылают ссылку, похожую на страницу загрузки файла из мессенджера. В отдельных случаях атакующие используют Dropbox. Переход по ссылке приводит к скачиванию ZIP-архива с приманкой.
Главный трюк строится на разнице между архиваторами. Стандартное приложение Windows показывает внутри архива файл, похожий на обычный PDF-документ, например приказ о поощрении, назначении или переподготовке. При открытии через 7-Zip видно настоящее расширение: .pdf.lnk. Среди примеров из отчета есть файл Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. Ярлык получает PDF-иконку из Microsoft Edge, поэтому вложение выглядит правдоподобно даже при беглом просмотре.
В том же архиве находится скрытая папка со вторым архивом. Внутри лежит набор инструментов, замаскированных под популярные приложения. Например, datagrip.exe на самом деле представляет собой переименованный Tor, messenger.exe скрывает компонент OpenSSH, а другие файлы отвечают за SSH- и SFTP-соединения. Названия подобраны так, чтобы компоненты напоминали привычные программы и меньше привлекали внимание в пользовательской папке AppData.
После запуска LNK-файл включает первый этап заражения, который исследователи назвали LeekSower. Команда запускает PowerShell, ищет исходный ZIP-архив в профиле пользователя, распаковывает содержимое в AppData, достает вложенный архив и запускает следующий скрипт. Следующий этап получил название LeekGerminator.
LeekGerminator сначала проверяет среду. Для продолжения работы в папке недавних документов Windows должно находиться больше 10 LNK-файлов, а в системе должно быть запущено больше 50 процессов. При провале проверок цепочка заражения останавливается. Такой прием помогает вредоносному коду избегать песочниц и автоматического анализа.
Если проверки проходят, LeekGerminator открывает PDF-приманку, чтобы не вызвать подозрений у пользователя, удаляет временные следы и создает мьютекс для защиты от повторного запуска. Затем скрипт добавляет две скрытые задачи в планировщик Windows. Первая запускает переименованный OpenSSH-сервер, вторая поднимает Tor под видом datagrip.exe. Оба процесса стартуют через conhost в скрытом режиме, без видимых окон.
Связь с оператором строится через Tor и SSH. Tor использует мосты и транспорт obfs4, который маскирует трафик и усложняет обнаружение на сетевом уровне. SSH-сервер слушает только локальный адрес 127.0.0.1 и принимает вход по ключам, а не по паролю. Такая схема позволяет злоумышленникам получить защищенный доступ к зараженному компьютеру без прямого открытия сервиса наружу.
После запуска Tor скрипт отправляет запрос на .onion-адрес командного центра. В запрос попадают имя пользователя, идентификатор скрытого сервиса Tor и уникальная строка версии вредоносного файла. Команда curl делает до 1000 попыток соединения с паузой в три секунды, поэтому связь может подняться даже при нестабильном доступе к сети.
Новая техника в отчете связана с инструментом LeekYield. После подключения оператор переносит на зараженный компьютер rclone, переименованный в bittorrent.exe, и создает задачу планировщика с закодированной PowerShell-командой. Скрипт ищет USB-диски, копирует данные во временную папку и сортирует файлы по времени изменения, отдавая приоритет свежим документам. На каждый накопитель отводится до трех минут.
Собранные файлы выгружаются через rclone по протоколу S3 в удаленный репозиторий aunion. Передача идет через локальный порт 12191 по заранее подготовленному туннелю. По сути, атакующие не пишут собственный инструмент для кражи файлов, а встраивают в цепочку легитимную утилиту для работы с облачными хранилищами.
Отдельный блок отчета касается генерации вредоносных инструментов. Для каждой цели Leek Likho готовит отдельные версии приманок и компонентов. В названиях LNK-файлов меняются номера приказов, во втором архиве инструменты получают новые имена, похожие на названия известных программ, а в скриптах меняются переменные, служебные строки и идентификаторы задач.
Исследователи также заметили, что одни и те же действия в разных сборках выполняются разными способами, а в код иногда добавляются лишние операции без влияния на результат. При этом структура заражения остается одинаковой. Касперский считает, что такие признаки могут указывать на использование больших языковых моделей для генерации вариантов скриптов и названий.
Подобный подход помогает Leek Likho обходить простые сигнатуры и усложняет поиск вредоносных файлов в системе. Однако поведение атаки остается заметным: запуск PowerShell из LNK-файла, создание скрытых задач, старт переименованного Tor, обращение к .onion-ресурсу, SSH-доступ и копирование данных через rclone. Касперский отмечает, что подобную активность можно выявлять средствами EDR и сетевого мониторинга.
Leek Likho продолжила атаки на российские организации, в основном на госструктуры, и начала активнее менять вредоносные инструменты под разные цели. Касперский считает, что группировка могла использовать большие языковые модели для генерации вариантов скриптов, имен файлов и служебных артефактов. Схема заражения при этом осталась прежней: жертве присылают архив под видом служебного PDF, а после клика в системе разворачивается связка PowerShell, Tor, OpenSSH и rclone.
В новом отчете Касперский разобрал активность Leek Likho в 2026 году, новую технику кражи файлов и признаки возможного использования ИИ. Группировку Leek Likho, также известную как SkyCloak и Vortex Werewolf, впервые описали в 2025 году после серии целевых атак на организации государственного сектора России и Беларуси. Кампания получила название Операция SkyCloak . С февраля по апрель 2026 года специалисты Касперского наблюдали продолжение активности и обнаружили новую технику кражи файлов.
Leek Likho держится на сочетании социальной инженерии, многоступенчатой загрузки и легитимных инструментов. Злоумышленники постоянно меняют инфраструктуру, скрипты, названия файлов и способы маскировки, но общий принцип атаки почти не меняется: сначала жертву убеждают открыть архив, затем через PowerShell устанавливают компоненты удаленного доступа, поднимают скрытый канал связи через Tor и SSH, после чего забирают данные с помощью rclone.
Первоначальный доступ злоумышленники получают через Telegram. Жертве присылают ссылку, похожую на страницу загрузки файла из мессенджера. В отдельных случаях атакующие используют Dropbox. Переход по ссылке приводит к скачиванию ZIP-архива с приманкой.
Главный трюк строится на разнице между архиваторами. Стандартное приложение Windows показывает внутри архива файл, похожий на обычный PDF-документ, например приказ о поощрении, назначении или переподготовке. При открытии через 7-Zip видно настоящее расширение: .pdf.lnk. Среди примеров из отчета есть файл Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. Ярлык получает PDF-иконку из Microsoft Edge, поэтому вложение выглядит правдоподобно даже при беглом просмотре.
В том же архиве находится скрытая папка со вторым архивом. Внутри лежит набор инструментов, замаскированных под популярные приложения. Например, datagrip.exe на самом деле представляет собой переименованный Tor, messenger.exe скрывает компонент OpenSSH, а другие файлы отвечают за SSH- и SFTP-соединения. Названия подобраны так, чтобы компоненты напоминали привычные программы и меньше привлекали внимание в пользовательской папке AppData.
После запуска LNK-файл включает первый этап заражения, который исследователи назвали LeekSower. Команда запускает PowerShell, ищет исходный ZIP-архив в профиле пользователя, распаковывает содержимое в AppData, достает вложенный архив и запускает следующий скрипт. Следующий этап получил название LeekGerminator.
LeekGerminator сначала проверяет среду. Для продолжения работы в папке недавних документов Windows должно находиться больше 10 LNK-файлов, а в системе должно быть запущено больше 50 процессов. При провале проверок цепочка заражения останавливается. Такой прием помогает вредоносному коду избегать песочниц и автоматического анализа.
Если проверки проходят, LeekGerminator открывает PDF-приманку, чтобы не вызвать подозрений у пользователя, удаляет временные следы и создает мьютекс для защиты от повторного запуска. Затем скрипт добавляет две скрытые задачи в планировщик Windows. Первая запускает переименованный OpenSSH-сервер, вторая поднимает Tor под видом datagrip.exe. Оба процесса стартуют через conhost в скрытом режиме, без видимых окон.
Связь с оператором строится через Tor и SSH. Tor использует мосты и транспорт obfs4, который маскирует трафик и усложняет обнаружение на сетевом уровне. SSH-сервер слушает только локальный адрес 127.0.0.1 и принимает вход по ключам, а не по паролю. Такая схема позволяет злоумышленникам получить защищенный доступ к зараженному компьютеру без прямого открытия сервиса наружу.
После запуска Tor скрипт отправляет запрос на .onion-адрес командного центра. В запрос попадают имя пользователя, идентификатор скрытого сервиса Tor и уникальная строка версии вредоносного файла. Команда curl делает до 1000 попыток соединения с паузой в три секунды, поэтому связь может подняться даже при нестабильном доступе к сети.
Новая техника в отчете связана с инструментом LeekYield. После подключения оператор переносит на зараженный компьютер rclone, переименованный в bittorrent.exe, и создает задачу планировщика с закодированной PowerShell-командой. Скрипт ищет USB-диски, копирует данные во временную папку и сортирует файлы по времени изменения, отдавая приоритет свежим документам. На каждый накопитель отводится до трех минут.
Собранные файлы выгружаются через rclone по протоколу S3 в удаленный репозиторий aunion. Передача идет через локальный порт 12191 по заранее подготовленному туннелю. По сути, атакующие не пишут собственный инструмент для кражи файлов, а встраивают в цепочку легитимную утилиту для работы с облачными хранилищами.
Отдельный блок отчета касается генерации вредоносных инструментов. Для каждой цели Leek Likho готовит отдельные версии приманок и компонентов. В названиях LNK-файлов меняются номера приказов, во втором архиве инструменты получают новые имена, похожие на названия известных программ, а в скриптах меняются переменные, служебные строки и идентификаторы задач.
Исследователи также заметили, что одни и те же действия в разных сборках выполняются разными способами, а в код иногда добавляются лишние операции без влияния на результат. При этом структура заражения остается одинаковой. Касперский считает, что такие признаки могут указывать на использование больших языковых моделей для генерации вариантов скриптов и названий.
Подобный подход помогает Leek Likho обходить простые сигнатуры и усложняет поиск вредоносных файлов в системе. Однако поведение атаки остается заметным: запуск PowerShell из LNK-файла, создание скрытых задач, старт переименованного Tor, обращение к .onion-ресурсу, SSH-доступ и копирование данных через rclone. Касперский отмечает, что подобную активность можно выявлять средствами EDR и сетевого мониторинга.
- Источник новости
- www.securitylab.ru
