Аналітики компанії Sophos виявили та дослідили нову модульну хакерську платформу, розроблену з частковим залученням технологій штучного інтелекту. Цей інструментарій призначений для закріплення зловмисників у вже зламаній корпоративній мережі та автоматичного збору даних про структуру каталогів Active Directory – головної системи керування користувачами, правами та комп’ютерами в інфраструктурі Windows. Головна технічна особливість платформи полягає в автоматизації процесів обходу сучасних систем захисту кінцевих точок. Хакерський набір містить спеціально модифіковані профілі для відомого інструменту Cobalt Strike, які сконструйовані так, що зловмисний мережевий трафік повністю імітує легітимні та безпечні вебзапити звичайних програм. Для керування зараженими машинами та передачі наказів розробники вірусу інтегрували зовнішній канал зв’язку Command and Control, який працює через офіційний програмний інтерфейс Telegram Bot API, маскуючи хакерські команди під звичайні повідомлення у месенджері.

Фіксація активності цієї нової платформи відбулася 2 червня 2026 року під час моніторингу інцидентів кібербезпеки у кількох компаніях. Технічні артефакти та шкідливі файли під час атаки розгорталися за локальним шляхом на диску C:\Users\User\Documents\test. Спеціалісти Sophos підтвердили, що структура шкідливого коду та сліди в операторських логах Cobalt Strike напряму пов’язують цей інструментарій з реальними вимагацькими угрупованнями, а не з легітимними командами тестувальників на проникнення. У логах хакерів було виявлено заготовлені текстові вимоги про викуп, а також списки компаній, які вже стали жертвами шифрувальників і чиї дані були завантажені на спеціальні хакерські сайти витоків. Дослідники підкреслюють, що використання штучного інтелекту у цьому випадку дозволило хакерам суттєво прискорити написання коду та автоматизувати рутинну розвідку всередині мереж, перетворивши ШІ на потужний помножувач сили для дій живих кіберзлочинців.