Аналитики наблюдали широкий спектр злоупотреблений нейросетями со стороны хакеров, использующих сложные целевые атаки: это программирование и написание скриптов, сбор информации о потенциальных целях, исследование общеизвестных уязвимостей и обеспечение действий после взлома.
Как утверждают эксперты Google, в одном случае поддерживаемая иранским правительством группировка APT42 применяла ИИ-модели для поиска официальных адресов электронной почты конкретных организаций и проведения разведки потенциальных деловых партнёров с целью создания убедительного предлога.
В отчёте безопасников также говорится о спонсируемой северокорейским правительством группе UNC2970, использовавшей Gemini от Google для синтеза разведывательной информации из открытых источников (OSINT) и составления профилей важных целей. В своих атаках на оборонные компании хакеры обычно выдают себя за корпоративных рекрутеров.
Приводится и пример с группой, связанной с Китаем (известной как Mustang Panda, TwillTyphoon и Earth Preta), которая с помощью различных ИИ-инструментов собирала сведения о конкретных лицах, включая цели в Пакистане, оперативные и структурные данные о сепаратистских организациях в различных странах. Прокитайская группа APT31 (также известная как VioletTyphoon, Judgment Panda и Zirconium), по наблюдениям экспертов из Google, использует ИБ-специалистов для автоматизации анализа уязвимостей и создания планов тестирования против целей в США.
«Для поддерживаемых правительством злоумышленников LLM стали важными инструментами для технических исследований, определения целей и быстрого создания сложных фишинговых приманок», — отмечается в отчёте. Однако авторы пока не обнаружили прямых атак на передовые ИИ-модели или продукты GenAI со стороны каких-либо APT-группировок.
Между тем финансово мотивированные хакеры активно пытаются захватить LLM для осуществления своих вредоносных кампаний. Безопасники выявили заметный рост попыток кражи моделей и извлечения их возможностей, исходящих от исследователей и частных компаний по всему миру.
В атаках с извлечением модели (MEA) используется метод, называемый дистилляцией знаний, — для получения информации от одного бота и её передачи другому. Это позволяет злоумышленнику действовать быстро и со значительно меньшими затратами. Хотя атаки MEA и дистилляции обычно не несут угрозы для обычных пользователей, они предполагают риск кражи интеллектуальной собственности для разработчиков и поставщиков услуг.
Ещё одна значимая угроза, выявленная Google, — это увеличение подпольной экосистемы «взлома», которая включает в себя новые ИИ-инструменты, специально разработанные для осуществления незаконной деятельности. На теневых рынках появились вредоносные сервисы, представляющиеся независимыми моделями, но полагающиеся на взломанные коммерческие API и серверы протокола контекста модели (MCP) с открытым исходным кодом.
Google также обнаружила, что хакеры используют функции публичного доступа к контенту ИИ-платформ, таких как Gemini и ChatGPT, для размещения фейковых материалов, связанных с социальной инженерией. При этом они полагаются на распространённые методы (например, ClickFix), чтобы обманом заставить потенциальных жертв вручную выполнять вредоносные команды, размещая инструкции на доверенных доменах ИИ для обхода фильтров безопасности.
Со слов исследователей, они продолжают наблюдать за тем, как злоумышленники экспериментируют с нейросетями, внедряя новые возможности в семейства вредоносов. Так, в сентябре 2025 года GTIG выявила ВПО Honestcue, использующее API Google Gemini для динамической генерации и выполнения вредоносного кода C# в памяти. Данный случай демонстрирует, как киберпреступники избегают обнаружения, одновременно совершенствуя методы атак без файлов.