Aparılan araşdırmalara əsasən kiberhücumçular süni intellektə olan qlobal maraqdan sui-istifadə edərək Windows istifadəçilərini zərərli proqram yükləməyə yönləndirirlər. Aşkarlanan kampaniyalardan birində hücumçular faydalı süni intellekt texniki bələdçisi kimi təqdim edilən arxiv qovluq vasitəsilə zərərli fayllar yayıblar.
Məlumata görə “Agentic Coding with Claude Code, The everyday developer’s guide to agentic coding with Claude Code.7z” adlı arxiv ilk baxışda təhlükəsiz sənəd kimi görünür. Lakin arxiv açıldıqdan sonra sistemdə gizli skriptlərdən ibarət mürəkkəb çoxmərhələli hücum zənciri işə düşür.
Hücum prosesi arxiv daxilində yerləşən .lnk formatlı qısayol faylının açılması ilə başlayır. Bu fayl cmd.exe və findstr kimi Windows-un yerli komponentlərindən istifadə edərək gizli əmrlər icra edir və 3th.pdf və 4th.pdf adlı fayllardan məlumat əldə edir. Sözügedən fayllar real PDF sənədləri deyil, zərərli məlumatların saxlandığı konteynerlər kimi istifadə olunur.
Daha sonra PowerShell skripti AES-CBC şifrələməsindən istifadə etməklə ikinci mərhələyə aid skripti sistemin AppData qovluğuna yerləşdirir. Bu üsul zərərli kodun sistemə oxunması çətin formada ötürülməsinə imkan yaradır. Növbəti mərhələdə isə zərərli proqram C:\ diskini və PowerShell.exe faylını Microsoft Defender-in istisna siyahısına (exclusion list) əlavə etməyə çalışır. Bununla da sistemin daxili antivirus mexanizminin hücumu aşkarlaması çətinləşdirilir.
Hücumçular həmçinin AutoHotkey.exe faylından sui-istifadə edərək onu qanuni Realtek audio xidməti kimi göstərirlər. Bu addım zərərli fəaliyyətin sistem prosesləri arasında gizlədilməsinə xidmət edir. Bundan sonra “process hollowing” texnikasından istifadə olunaraq legitim .NET prosesi dayandırılmış vəziyyətdə (suspended state) yaradılır və zərərli kod həmin prosesin yaddaş sahəsinə yeridilir. Bu üsul zərərli faylın diskdə saxlanılmasının qarşısını alır və statik fayl skanerlərindən yayınma ehtimalını artırır.
Paralel olaraq istifadəçiyə “AI-Ready PostgreSQL 18” və ya “A Guide for Thinking Marketers in the Age of AI” adlı oxuna bilən saxta sənədlər göstərilir. Bu sənədlər istifadəçidə yüklənmiş faylın təhlükəsiz olması təəssüratı yaradır və fonda icra olunan zərərli əməliyyatları gizlətməyə xidmət edir.
Araşdırmalara görə istifadə olunan hücum infrastrukturu gizli zərərli yüklərin çatdırılması və uzunmüddətli uzaqdan girişin təmin edilməsi üçün xüsusi hazırlanıb. Hücum zənciri iki ayrı istiqamətə bölünərək iki fərqli uzaqdan idarəetmə troyanının sistemə yerləşdirilməsinə səbəb olur. Bir istiqamət izləmə funksiyalarına malik modullardan ibarət .NET müştərisini, digər istiqamət isə AsyncRAT zərərli proqramını işə salır.
Hər iki zərərli alət hücumçulara istifadəçinin iş masasını izləmək, siçan hərəkətlərini müşahidə etmək və sistem haqqında əsas məlumatları komanda-idarəetmə serverlərinə ötürmək imkanı verir. Qeyd olunur ki, hücum zamanı istifadə olunan infrastrukturda shampobiskworld.nl kimi domenlərdən də istifadə edilib.
Araşdırma zamanı skriptlərdə avtomatlaşdırılmış yardım izləri də müəyyən edilib. Aralıq PowerShell skriptlərində sadələşdirilmiş Çin dilində dəyişən adlarından geniş istifadə olunması, eləcə də kod daxilində redaktə edilməmiş Çin dilində şərh sətri və təsadüfi emoji aşkarlanıb. Bu göstəricilər hücumun ümumi məntiqinin insan operatorlar tərəfindən qurulduğunu, lakin kodun daha sürətli hazırlanması üçün generativ süni intellekt alətlərindən istifadə oluna biləcəyini göstərir.
Mütəxəssislər bildirirlər ki, bu tip hücumlar ayrı-ayrı mərhələlər üzrə sadə və şübhəsiz görünə bilər, lakin həmin mərhələlərin birlikdə icrası ciddi təhlükəsizlik riski yaradır. Bu səbəbdən təşkilatlara şübhəli planlaşdırılmış tapşırıqları izləmək, gözlənilməyən qısayol fayllarını açmamaq və təsdiqlənməmiş mənbələrdən yüklənən arxivlərə qarşı ehtiyatlı davranmaq tövsiyə olunur.
09 iyun 2026
05 iyun 2026
05 iyun 2026
01 iyun 2026
29 may 2026
26 may 2026
25 may 2026
22 may 2026
© 2011-2026 Bütün Hüquqlar Qorunur
