ChatGPT на службе кибершпионажа: как UTA0388 атакует с помощью GOVERSHELL

Связанная с Китаем хакерская группа UTA0388, специализирующаяся на кибершпионаже, проводит многоязычные фишинговые кампании против организаций в Северной Америке, Азии и Европе. Аналитики компании Volexity отмечают, что основной интерес злоумышленников сосредоточен на азиатских геополитических вопросах, с особым акцентом на Тайвань. Группа активно использует большие языковые модели, в частности ChatGPT от OpenAI, для создания контента и оптимизации своих вредоносных операций.
ChatGPT на службе кибершпионажа: как UTA0388 атакует с помощью GOVERSHELL
Изображение носит иллюстративный характер

Атаки начинаются с целевых фишинговых писем, отправленных на английском, китайском, японском, французском и немецком языках. В этих письмах злоумышленники выдают себя за старших научных сотрудников и аналитиков из вымышленных организаций, названия которых звучат правдоподобно. Такие письма содержат ссылки, ведущие на удаленно размещенные архивные файлы в форматах ZIP или RAR. Для отправки сообщений используются сервисы Proton Mail, Microsoft Outlook и Gmail.

Для размещения вредоносных архивов UTA0388 злоупотребляет облачными сервисами, такими как Netlify, Sync и OneDrive. После того как жертва скачивает и открывает архив, из него извлекается вредоносная DLL-библиотека. Затем эта библиотека выполняется с помощью техники DLL side-loading (загрузка сторонних DLL), что позволяет запустить основной вредоносный имплант на системе жертвы.

Ключевым инструментом в арсенале группы является активно развивающийся бэкдор GOVERSHELL, написанный на языке Go. Он представляет собой эволюцию более раннего семейства вредоносных программ HealthKick, созданного на C++. Исследователи из компании Proofpoint отслеживают связанный с этой активностью кластер угроз под кодовым названием UNK_DropPitch.

Volexity задокументировала пять различных версий вредоносного ПО, демонстрирующих его быструю эволюцию. Первая версия, HealthKick, была замечена в апреле 2025 года и могла выполнять команды через cmd.exe. Уже в июне 2025 года появилась версия TE32, которая напрямую выполняла команды через обратную оболочку PowerShell.

В начале июля 2025 года была обнаружена версия TE64. Её функционал включал сбор информации о системе, получение текущего системного времени, выполнение команд через powershell.exe и опрос внешнего сервера для получения новых инструкций. В середине июля появилась версия WebSocket, способная запускать команды PowerShell и содержащая нереализованную подкоманду для обновления.

Последняя на данный момент версия, Beacon, была зафиксирована в сентябре 2025 года. Она позволяет устанавливать и рандомизировать базовый интервал опроса командного сервера, а также выполнять нативные и динамические команды через powershell.exe.

Группа UTA0388 активно интегрирует искусственный интеллект в свои операции. Они используют ChatGPT для генерации контента фишинговых кампаний на английском, китайском и японском языках, а также для помощи в создании вредоносных рабочих процессов. Кроме того, злоумышленники применяли ИИ для поиска информации об установке инструментов с открытым исходным кодом, таких как сканеры уязвимостей nuclei и fscan.

Доказательством использования ИИ служат полностью вымышленные личности и несогласованный контент в фишинговых письмах. Аналитики Volexity с «умеренной степенью уверенности» полагают, что для создания этого контента использовалась автоматизация, практически без контроля со стороны человека. В результате этой активности компания OpenAI заблокировала учетные записи ChatGPT, связанные с UTA0388.

В конце сентября была зафиксирована схожая кибершпионская кампания, также предположительно связанная с Китаем. По данным StrikeReady Labs, целями стали правительственный департамент Сербии, связанный с авиацией, а также учреждения в Венгрии, Бельгии, Италии и Нидерландах.

В этой атаке жертва получала фишинговое письмо со ссылкой, которая вела на поддельную страницу верификации Cloudflare CAPTCHA. Эта страница инициировала загрузку ZIP-архива, содержащего файл ярлыка Windows (.LNK). Запуск ярлыка приводил к выполнению PowerShell-скрипта, который открывал для отвлечения внимания легитимный документ, одновременно незаметно развертывая вредоносное ПО PlugX с использованием техники DLL side-loading.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка