У першій половині 2025 року російські хакери посилили атаки на Україну з використанням ШІ, зафіксувавши 3018 інцидентів проти 2575 у другій половині 2024 року. Державна служба спеціального зв’язку та захисту інформації України (ССЗІ) зазначає зростання атак на місцеві органи влади та військові, з зменшенням на уряд та енергетику. ШІ використовується для генерації фішингових повідомлень та розробки малварі, з аналізом зразків, що показують ознаки ШІ-генерації. Приклади: UAC-0219 з WRECKSTEEL для крадіжки даних, UAC-0218 з HOMESTEEL для оборонних сил, UAC-0226 з GIFTEDCROOK для оборонної промисловості. Також UAC-0227 застосовував ClickFix та SVG-файли для поширення Amatera Stealer та Strela Stealer.

APT28 (UAC-0001) експлуатував XSS-вразливості в Roundcube та Zimbra для zero-click атак, крадучи credentials та контакти. Sandworm (UAC-0002) синхронізував кібероперації з кінетичними атаками на енергетику та оборону. Хакери зловживають легітимними сервісами як Dropbox, Google Drive для хостингу малварі та ексфільтрації. Вплив: посилення загроз для національної безпеки України. Рекомендації: посилити моніторинг, використовувати ШІ для захисту, фільтрувати підозрілий трафік.