Как хакеры из латинской Америки поставили ИИ на службу взлому правительств и банков

Компания TrendAI Research зафиксировала две отдельные хакерские кампании, которые независимо друг от друга применили агентный ИИ для атак на государственные органы и финансовые организации Латинской Америки. Кампании получили обозначения SHADOW-AETHER-040 и SHADOW-AETHER-064. Их сходство по тактике при полной организационной независимости говорит о том, что использование ИИ-агентов в реальных взломах перестало быть экзотикой.
SHADOW-AETHER-040: испаноязычная группа против мексиканских госструктур
Первая кампания, SHADOW-AETHER-040, задокументирована в период с 27 декабря 2025 по 4 января 2026 года. За девять дней были скомпрометированы шесть государственных структур Мексики. Помимо госсектора, атакующие проявляли интерес к авиации, финансам и ритейлу. Операторы общались на испанском языке.
Группу обнаружили по случайности: C&C-сервер кампании оказался неправильно настроен, и данные атаки утекли наружу. В числе утечки — переписка оператора с ИИ-агентом, работавшим через командную строку. ИИ-агент принимал запросы оператора и отправлял их в Anthropic Claude, а затем выполнял команды, которые модель возвращала в ответ. Дополнительно группа подключила Shodan для разведки поверхности атаки и VulDB для поиска уязвимостей конкретных приложений.
Схема атаки выглядела следующим образом: сначала сканирование уязвимостей и сбор данных через Shodan, затем развёртывание веб-шеллов через Neo-reGeorg на уязвимых серверах, после — установка SOCKS5-туннеля с помощью Chisel обратно до C&C. Дальше ИИ-агент через ProxyChains создавал SSH-соединения и работал уже внутри внутренней сети жертвы. Агент самостоятельно искал в .bash_history пароли, читал конфигурационные файлы и WAR-архивы, генерировал шелл-скрипты для сканирования внутренней сети, пытался эксплуатировать уязвимости Dirty COW и PwnKit для повышения привилегий, проводил SMB Relay через PetitPotam, распылял пароли через CrackMapExec и Impacket против контроллеров домена, искал в базах данных таблицы с учётными данными и выгружал базы через SQL-команды с последующей передачей по scp.
Для каждой жертвы создавалась отдельная папка, куда агент записывал прогресс атаки в Markdown-файлах. Это позволяло в любой момент восстановить контекст и продолжить незавершённые задачи — своего рода оперативная память операции.
Оператор столкнулся с проблемой: ИИ отказывался выполнять команды, когда понимал, что цель — реальный государственный орган. После нескольких итераций атакующий сформулировал задание как авторизованный red team тест, и агент согласился. Впрочем, полного контроля над агентом оператор не передавал — он постоянно наблюдал за его действиями и вмешивался при отклонениях.
Бэкдор implante_http: написан ИИ, упакован PyInstaller
Ключевой инструмент SHADOW-AETHER-040 — бэкдор под названием implante_http, написанный на Python и собранный в самостоятельный ELF-бинарник через PyInstaller. На VirusTotal также нашлась Windows-версия того же бэкдора. Связь с C&C шла по HTTP, туннелирование трафика — через WebSocket.
Что этот бэкдор умеет:
    []выполнять произвольные системные команды
    []загружать и скачивать файлы, включая передачу больших файлов по частям
    []создавать интерактивную PTY-сессию
    []устанавливать SSH-соединения с другими серверами изнутри скомпрометированной машины
    []поднимать WebSocket-туннель для форвардинга TCP/UDP трафика от SOCKS5-сервера на C&C
На то, что код написан ИИ, указывают несколько признаков: подробные комментарии с объяснением логики, аккуратная обработка всех ошибок, комментарии с описанием изменений до и после каждой правки, и — что совсем характерно — эмодзи в сообщениях программы. Разработчики назвали такой подход к написанию кода «vibe coding».
SHADOW-AETHER-064: португалоязычная группа атакует банки Бразилии
Вторая кампания, SHADOW-AETHER-064, начала активность в апреле 2026 года. Цели — финансовые организации Бразилии. Операторы писали на португальском. Какой именно LLM-сервис использовался, установить не удалось.
Группу раскрыли не через утечку серверных данных, а через сами атакующие скрипты: в них содержались фрагменты «внутренних рассуждений» агента и описания процессов принятия им автономных решений. Такие вставки характерны для скриптов, сгенерированных ИИ-агентом на ходу под конкретные подзадачи.
Начальный доступ SHADOW-AETHER-064 получала через уязвимые серверы JBoss AS — на них размещались веб-шеллы, через которые затем разворачивались Chisel и другие прокси-утилиты. Дальше ИИ-агент работал через SOCKS5-туннели. Среди задокументированных действий агента: сканирование портов 443 и 8443 по диапазонам адресов, попытки SQL-инъекций, сбор учётных данных из конфигов приложений, SSH-password spraying, создание сервисных аккаунтов svcbackup и svcmon как на серверах жертв, так и в Active Directory. Для повышения привилегий группа модифицировала Group Policy Preferences, добавляя свои аккаунты в административные группы, и правила GPO удаляя Domain Admins из политики SeDenyNetworkLogonRight. Для бокового перемещения применялся Pass-the-Hash через перехваченные NTLM-хэши.
Собственный инструментарий SHADOW-AETHER-064
Группа разработала два кастомных инструмента. Первый — POW (Proxy over Web) — туннелирует SOCKS5-трафик с C&C во внутреннюю сеть, упаковывая его в HTTP POST-запросы и ответы через JSP-веб-шелл. Для идентификации сессий, адресов назначения и статусов запросов используются HTTP-заголовки X-Sid, X-Host, X-Port и X-Status.
Второй инструмент — SOCKTZ, написанный на Go. Это реверс-SOCKS5-туннель. Ранние версии просто подключались к C&C и ждали команд на создание TCP-соединений. В версии 9 к этому добавилось удалённое выполнение команд на скомпрометированных серверах. В качестве релейной инфраструктуры группа использовала взломанный сторонний сайт. Серверные контроллеры обоих инструментов написаны на Python. Структурированность кода, подробные комментарии и очевидные следы итеративной разработки указывают на vibe coding.
Две разные группы с одинаковым подходом
На первый взгляд SHADOW-AETHER-040 и SHADOW-AETHER-064 выглядят как одна операция: оба используют Chisel, Neo-reGeorg, CrackMapExec, Impacket, ProxyChains, SOCKS5-туннелирование через SSH. Оба разрабатывали кастомные SOCKS5-бэкдоры с реверс-туннелированием. TrendAI Research первоначально рассматривала возможность их связи, но в итоге установила, что это отдельные кампании. Главный маркер разграничения — язык операторов: испанский против португальского. Совпадение инструментария, по всей видимости, объясняется тем, что и те, и другие обратились к одному классу общедоступных инструментов и одному классу ИИ-агентов.
Что ИИ-агент реально даёт атакующим — и чего не даёт
Преимущества применения ИИ в атаке конкретны. Агент быстро разбирает исходный код, логи и конфиги в поисках встроенных паролей, внутренних адресов и ошибок конфигурации — то, что раньше требовало часов ручной работы. Скрипты для сканирования сети, эксплуатации уязвимостей и password spraying генерируются под задачу на месте, без обращения к заранее написанным инструментам с известными сигнатурами. Каждое выполнение команды уникально, что осложняет детектирование сигнатурными методами. Параллельная работа по нескольким направлениям атаки повышает скорость операции.
Но есть и потолок. В нескольких случаях атакующие не смогли продвинуться дальше даже с ИИ-помощью, потому что жертва поддерживала нормальные конфигурации безопасности. ИИ не способен найти уязвимости и ошибки там, где их нет.
Индикаторы компрометации и запросы для охоты на угрозы
C&C IP-адреса SHADOW-AETHER-040: 165.22.184.26, 159.65.202.204, 62.171.185.97, 167.172.38.123, 155.133.27.198.
C&C IP-адреса SHADOW-AETHER-064: 209.99.185.221, 209.99.185.223, 167.148.195.53.
C&C домены SHADOW-AETHER-064: , .
Для поиска в TrendAI Vision One Search App:
Коммуникации SHADOW-AETHER-040: eventSubId: 204 AND (dst: 165.22.184.26 OR dst: 159.65.202.204 OR dst: 62.171.185.97 OR dst: 167.172.38.123 OR dst: 155.133.27.198)
Коммуникации SHADOW-AETHER-064 по IP: eventSubId: 204 AND (dst: 209.99.185.221 OR dst: 209.99.185.223 OR dst: 167.148.195.53)
Коммуникации SHADOW-AETHER-064 по доменам: eventSubId: 301 AND (hostName: OR hostName: )
Что с этим делать защитникам
Обе кампании наглядно показывают, что ИИ-агенты способны пройти полную цепочку атаки с минимальным участием человека на многих этапах. При этом базовые меры безопасности по-прежнему работают. Своевременная установка патчей, грамотно реализованный zero-trust, полноценный мониторинг активности в инфраструктуре и сильные исходные конфигурации — именно это остановило атакующих там, где они потерпели неудачу. Рост числа ИИ-усиленных атак делает эти меры не менее, а более актуальными, чем раньше.


Новое на сайте

Ссылка