Държавната служба за специални комуникации и информационна защита на Украйна (SSSCIP) съобщи, че руски хакери все по-често интегрират изкуствен интелект (ИИ) в кибератаките си срещу украински организации през първата половина на 2025 г.

„Хакерите вече не използват ИИ само за генериране на фишинг съобщения, но някои от анализираните от нас зловредни програми показват явни признаци на генериране с помощта на ИИ – и нападателите със сигурност няма да спрат дотук“, се посочва в доклада на агенцията.

Ръст на киберинцидентите

През първата половина на 2025 г. в Украйна са регистрирани 3 018 киберинцидента, което е увеличение спрямо 2 575 случая през втората половина на 2024 г..

• Повишение се наблюдава при атаки срещу местни власти и военни структури.

• При атаки срещу държавни администрации и енергийния сектор се отчита лек спад.

Един от ключовите инциденти включва UAC-0219, който използва зловредния софтуер WRECKSTEEL, насочен към държавни органи и критична инфраструктура. Има доказателства, че този PowerShell троянец е разработен с помощта на ИИ.

Примери за фишинг кампании

SSSCIP изтъква редица други кампании, целящи украински организации:

• UAC-0218 – атаки срещу отбранителни структури чрез RAR архиви с троянеца HOMESTEEL.

• UAC-0226 – атаки срещу иновационни предприятия, местни власти и военни единици чрез крадци на данни GIFTEDCROOK.

• UAC-0227 – кампании срещу местни администрации и центрове за териториална мобилизация чрез Amatera Stealer и Strela Stealer.

• UAC-0125 (с връзки със Sandworm) – използване на фалшиви сайтове, маскирани като ESET, за инсталиране на C# бекдор Kalambur (SUMBUR).

Уязвимости в уебмейл софтуер

Агенцията съобщава, че APT28 (UAC-0001) е експлоатирала CVE уязвимости в Roundcube и Zimbra, за да извършва zero-click атаки.

• Чрез API на Roundcube или Zimbra нападателите получавали достъп до креденшъли, списъци с контакти и конфигурирани филтри, пренасочвайки всички имейли към контролирани от тях пощи.

• Друг метод включвал създаване на скрити HTML полета с autocomplete=’on’, позволяващи автоматично изтегляне на данни от браузъра.

Хибридни атаки и злоупотреба с легитимни услуги

Русия продължава да провежда хибридни операции, комбинирайки кибератаки с кинетични удари на бойното поле. Групата Sandworm (UAC-0002) насочва действия срещу енергийни, отбранителни, интернет и изследователски организации.

Освен това, няколко  групи използват легитимни онлайн платформи като Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase и ipfs.io за хостинг на зловредни програми или фишинг страници, както и за извличане на данни.

„Използването на легитимни ресурси за злонамерени цели не е нова тактика, но броят на експлоатираните платформи от руски хакери нараства постоянно“, посочват от SSSCIP.