Киберпреступник непреднамеренно раскрыл свои методы и повседневные действия после установки антивирусного ПО Huntress на свой компьютер. Этот необычный инцидент предоставил аналитикам уникальную возможность изучить изнутри, как злоумышленники используют искусственный интеллект, инструменты исследования и автоматизацию.

По данным компании Huntress, хакер нашёл её продукт через рекламу Google во время поиска решений безопасности. После запуска бесплатной пробной версии и загрузки агента его действия были подробно зафиксированы. Следователи смогли подтвердить личность злоумышленника по ранее известному имени компьютера и истории браузера.

В течение трёх месяцев безопасники наблюдали, как преступник тестировал различные ИБ-инструменты, внедрял платформы автоматизации рабочих процессов (такие как Make.com) и исследовал API ботов Telegram для оптимизации работы. Аналитики выявили его интерес к генераторам текста и электронных таблиц на основе ИИ для создания фишинговых сообщений и управления украденной информацией. Злоумышленник также посещал форумы даркнета (например, STYX Market), просматривал репозитории вредоносного ПО и пытался использовать биржу токенов ROADtools для атак, связанных с похищением личных данных.

В Huntress связали инфраструктуру хакера, размещённую на канадском провайдере VIRTUO, как минимум с 2471 скомпрометированной единицей идентификационной информации за две недели. Многие попытки были пресечены существующими методами обнаружения — в том числе создание вредоносных почтовых правил и защита от кражи токенов.

Усам Оздемиров