Операция със зловреден софтуер за кражба на информация, известна като Arkanix Stealer, е била най-вероятно разработена като експеримент с ИИ-асистирано програмиране, сочи анализ на изследователи от Kaspersky. Кампанията, активно рекламирана в дарк уеб форуми в края на 2025 г., изчезва само два месеца след старта си, без официално обяснение към потребителите.

Проектът е включвал уеб контролен панел, Discord сървър за поддръжка и комуникация, както и реферална програма – характеристики, по-близки до легитимен софтуерен продукт, отколкото до типична подземна операция.

Признаци за участие на големи езикови модели (LLM)

Според анализа на Kaspersky, в кода на Arkanix се откриват ясни следи от ИИ-асистирано разработване, които вероятно са намалили значително времето и разходите за създаване на зловредния софтуер. Това включва повтарящи се коментари без функционална стойност, шаблонна структура и бързо добавяне на нови модули – характерни белези за код, генериран или подпомогнат от LLM.

Експертите определят Arkanix не просто като зловреден код, а като „публичен софтуерен продукт със злонамерена цел“.

Какво предлагаше Arkanix Stealer

Зловредният софтуер е бил предлаган в два варианта:

• Базов (Python) – насочен към по-малко опитни клиенти

• Премиум (C++) – с VMProtect защита, анти-анализ функции и разширени възможности

Функционалността включва:

• Кражба на пароли, cookies, autofill данни и история от браузъри

• Извличане на крипто портфейли от 22 браузъра

• Кражба на OAuth2 токени от Chromium-базирани среди

• Достъп до Telegram и Discord, включително разпространение през Discord API

• Таргетиране на VPN услуги като Mullvad, NordVPN, ExpressVPN и ProtonVPN

Премиум версията добавя:

• RDP идентификационни данни

• Анти-sandbox и анти-debugging механизми

• Инструменти за заобикаляне на Google App-Bound Encryption (ABE)

Бърза печалба или тест на ИИ възможности?

Изследователите смятат, че Arkanix е бил краткосрочен проект, целящ бърза финансова възвръщаемост или проверка доколко ИИ може да ускори разработката на зловреден код. Именно тази краткотрайност прави подобни операции по-трудни за откриване, проследяване и атрибуция.

Използването на ИИ не повишава непременно качеството на атаките, но значително разширява мащаба и скоростта, с която дори по-слабо подготвени заплахи могат да действат.

Изводи за защитата

Случаят Arkanix Stealer потвърждава тенденцията, че ИИ все по-често се използва като ускорител в киберпрестъпленията, а не като самостоятелна заплаха. Защитата изисква засилен фокус върху поведенчески анализ, защита на идентификационни данни и мониторинг на аномалии, а не само традиционни сигнатури.