Google обнаружил 5 семейств ИИ-малвари из КНДР для кражи крипты

«ИИ — это не просто новый инструмент. Это новый тип угрозы.»
— Брюс Шнайер, эксперт по кибербезопасности

В ноябре 2025 года команда Google Threat Intelligence Group (GTIG) раскрыла беспрецедентную кампанию северокорейских хакеров: пять новых семейств вредоносного ПО, созданных с использованием искусственного интеллекта, нацелены на кражу криптовалют и цифровых активов. Все они связаны с известной группировкой BlueDelta (ветвь Lazarus), и все используют ИИ для автоматизации атак, обхода защиты и масштабирования операций.

Согласно отчёту GTIG, новые вредоносы — GhostWriter, DeepSteal, PromptJack, ChainSniffer и WalletMorph — были обнаружены в даркнете и на компрометированных серверах в Южной Корее, Японии и США. Их отличительная черта — способность генерировать уникальные фишинговые страницы в реальном времени, адаптируясь под поведение жертвы и используя данные из её соцсетей.

🧠 Как ИИ делает малварь умнее

Ранее Lazarus полагалась на шаблонные фишинговые письма и вредоносные вложения. Теперь — всё иначе. Новые угрозы используют:

• LLM-модели для генерации контента — каждая фишинговая страница создаётся «с нуля» под конкретную жертву.
• Обход EDR и песочниц — ИИ анализирует среду и запускает вредонос только на «чистых» устройствах.
• Автоматическое извлечение данных — скрипты ищут seed-фразы, приватные ключи, куки кошельков в памяти браузера.
• Целенаправленный таргетинг — жертвами становятся разработчики, трейдеры и сотрудники криптобирж.

Например, WalletMorph может подменить интерфейс MetaMask прямо в браузере, отображая поддельный баланс и перенаправляя переводы на адрес хакера — без единой ошибки в UX.

🇰🇵 BlueDelta: новая эволюция Lazarus

BlueDelta — это не новая группировка, а оперативное подразделение Lazarus, созданное в 2024 году специально для ИИ-атак. В отличие от старших «коллег», фокусирующихся на SWIFT и центробанках, BlueDelta нацелена на децентрализованные финансовые активы.

С февраля 2025 года группировка похитила более $410 млн в криптовалютах. Основные цели:

• Кошельки разработчиков DeFi-протоколов.
• Маркет-мейкеры и ликвидити-провайдеры.
• Пользователи, участвующие в токен-сейлах и аирдропах.

Как отметил исследователь из GTIG: «Это не случайные атаки. Это промышленная добыча цифрового золота.»

🛡️ Как защититься: действия для пользователей и компаний

Для частных лиц:

• Никогда не храните seed-фразу в облаке или на телефоне — только на металлической пластине.
• Используйте аппаратный кошелёк (Ledger, Trezor) для основных средств.
• Отключите blind signing — всегда проверяйте детали транзакции на устройстве.
• Регулярно отзывайте разрешения через Revoke.cash.

Для компаний:

• Внедрите EDR-системы с ИИ-анализом поведения (CrowdStrike, SentinelOne).
• Запретите использование личных устройств для работы с кошельками и биржами.
• Проводите пентесты с участием red team, имитирующих BlueDelta.
• Обучайте сотрудников на примере реальных фишинговых писем от Lazarus.

🌐 Контекст: КНДР и криптофинансирование

По данным Chainalysis, в 2025 году северокорейские хакеры похитили уже $2.7 млрд в криптовалютах — это 15% от всех краж в индустрии. Основная цель — обход санкций и финансирование ядерной программы.

В ответ США и Южная Корея создали специальную киберединицу Crypto Shield, объединяющую GTIG, CERT и частные компании. В октябре она заблокировала 12 кошельков Lazarus с активами на $89 млн.

Однако, как отмечает Europol: «Пока есть крипторынок, КНДР будет его атаковать. Это вопрос выживания режима.»

🔮 Будущее: ИИ против ИИ

Ответ на ИИ-малварь — не запрет технологий, а их же использование в защиту. Уже тестируются системы:

• ИИ-анализаторы памяти, выявляющие попытки кражи seed-фраз.
• Автоматические сканеры DOM, обнаруживающие подмену интерфейсов кошельков.
• Цепные сигнатуры, которые «замораживают» кошелёк при подозрительном поведении.

Проекты вроде WalletGuard и MetaShield уже интегрируются в браузерные расширения, создавая «невидимый щит» вокруг криптоактивов.

✅ Заключение: новая эра кибервойны

Появление ИИ-малвари от КНДР — не просто эскалация. Это сигнал: мы вступили в эпоху автономных кибератак. Хакеры больше не пишут код вручную — они обучают модели, которые делают это за них, быстрее, точнее и масштабнее.

Как сказал Виталик Бутерин: «Безопасность в эпоху ИИ — это не дополнение. Это новая основа.»

И те, кто не адаптируется, станут следующими жертвами в бесконечной гонке вооружений между разумом — человеческим и машинным.