Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
ZachXBT раскрыл личность организатора фишинговых атак на $19 млн.
Троих подозреваемых обвинили в серии «атак с гаечным ключом» в Калифорнии.
Фейковый репозиторий OpenAI распространял инфостилер.
«ИИ-мусор» заполонил платформы для хакеров и кибермошенников.
ZachXBT раскрыл личность организатора фишинговых атак на $19 млн
Ончейн-исследователь ZachXBT раскрыл детали расследования кражи криптовалют с помощью фишинга на сумму более $19 млн.
1/ Meet Dritan Kapllani Jr, a US based threat actor tied to $19M from social engineering thefts targeting crypto holders.Dritan flexes luxury cars, watches, private jets, & clubs all over social media.Recently he was recorded on a call showing off a wallet with stolen funds. pic.twitter.com/iDKyUjUm4M— ZachXBT (@zachxbt) May 12, 2026
Главным подозреваемым оказался американский хакер Дритан Каплани — младший. Отправной точкой для деанонимизации злоумышленника стала его собственная неосторожность.
23 апреля 2026 года во время видеозвонка в Discord Каплани вступил в спор с одним из пользователей о размерах капитала (band 4 band). В качестве доказательства он продемонстрировал экран своего криптокошелька Exodus с балансом в $3,68 млн.
ZachXBT проанализировал цепочку транзакций Ethereum-адреса. Выяснилось, что средства связаны с кражей 185 BTC, произошедшей 14 марта 2026 года. Исследование показало, что 15 марта на кошелек Каплани поступила его доля — $5,3 млн. К моменту видеозвонка в апреле хакер уже потратил или отмыл около $1,6 млн.
В ходе расследования детектив также обнаружил связь Каплани с более ранними инцидентами. Помог в этом киберпреступник Джон Дагита, ранее арестованный за кражу более $40 млн у правительства США. В качестве мести за прошлые конфликты он опубликовал в Telegram один из старых адресов Каплани.
ZachXBT подтвердил его принадлежность: алгоритм вывода средств полностью совпадал с тем, что использовался при краже 185 BTC. Также удалось выяснить, что осенью 2025 года через этот кошелек прошло более $5,85 млн, украденных в результате пяти фишинговых атак.
Эксперт помогал одной из пострадавших сторон в расследовании, но намеренно не публиковал свои выводы до официальных действий властей.
11 мая 2026 года были рассекречены судебные материалы по делу о краже 185 BTC.
Обвинения уже предъявлены:
Трентону Джонсону — за непосредственное участие в краже. Ему грозит до 40 лет лишения свободы;
криптоинфлюенсеру под ником yelotree — за помощь в отмывании средств через бизнес по аренде автомобилей в Майами (до 30 лет тюрьмы).
Каплани ведет публичный и роскошный образ жизни, демонстрируя в социальных сетях частные самолеты и дорогие автомобили. Долгое время ему удавалось избегать арестов — детектив связывает эту «неуязвимость» с обычной практикой откладывания судебных преследований несовершеннолетних. Поскольку Каплани недавно исполнилось 18 лет, ZachXBT предполагает, что в ближайшее время ему предъявят обвинения.
Троих подозреваемых обвинили в серии «атак с гаечным ключом» в Калифорнии
Прокуратура США предъявила Элайдже Армстронгу, Нино Чиндавану и Джейдену Ракеру обвинения в ограблении, похищении и сговоре в связи с серией краж криптовалюты.
Согласно материалам дела, фигуранты переехали из Теннесси в Калифорнию. Чтобы проникнуть в дома жертв, злоумышленники представлялись курьерами.
В ноябре 2025 года в Сан-Франциско «курьер» с коробкой в руках напал на заказчика у входа в апартаменты. Пострадавшего связали скотчем, избили рукояткой пистолета и угрозами заставили перевести $10 млн в биткоине и $3 млн в Ethereum.
В другом инциденте «атак с гаечным ключом» (wrench attack) жертва лишилась криптовалюты на сумму $6,5 млн.
Армстронг и Ракер арестованы в Лос-Анджелесе 31 декабря 2025 года, а Чиндаван — в Саннивейле 22 декабря 2025 года. Им грозит:
до 20 лет лишения свободы за ограбление и попытку похищения;
пожизненное заключение за сговор с целью похищения;
штрафы в размере $250 000 по каждому пункту обвинения.
По данным CertiK, в 2025 году зафиксировано 72 случая «атак с гаечным ключом» по всему миру, что на 75% больше, чем в предыдущем году. Общая сумма убытков от таких преступлений достигла рекордных $41 млн.
Фейковый репозиторий OpenAI распространял инфостилер
Вредоносный репозиторий на Hugging Face имитировал проект Privacy Filter от OpenAI для доставки инфостилера. Об этом сообщили исследователи HiddenLayer.
Платформа Hugging Face позволяет разработчикам и исследователям обмениваться ИИ-моделями, наборами данных и инструментами машинного обучения.
По данным экспертов, мошенники использовали похожее написание в репозитории Open-OSS/privacy-filter, содержащем файл loader.py, который запускает вредонос для кражи данных на ОС Windows.
Источник: HiddenLayer.
Python-скрипт включал в себя поддельный код, связанный с ИИ, чтобы казаться безобидным. Однако в фоновом режиме он отключал проверку ключей SSL, декодировал URL-адрес, указывающий на внешний ресурс, а затем извлекал и выполнял команду PowerShell.
Код, выполняемый в невидимом окне, загружал пакетный файл start.bat. Он повышал привилегии в системе и скачивал финальную нагрузку, добавляя ее в исключения Microsoft Defender. Он представлял собой написанный на языке Rust инфостилер, способный делать скриншоты экрана. Программа похищала:
куки, сохраненные пароли, ключи шифрования, историю просмотров в браузерах на базе Chromium и Gecko;
токены Discord, локальные базы данных и мастер-ключи;
криптокошельки и их браузерные версии;
учетные данные и конфигурационные файлы SSH, FTP и VPN, включая FileZilla;
информацию о системе.
Исследователи отметили, что подавляющее большинство из 667 аккаунтов, поставивших лайк вредоносному репозиторию, кажутся автоматически сгенерированными. Кроме того, число загрузок в 244 000 также могло быть искусственно завышено.
«ИИ-мусор» заполонил платформы для хакеров и кибермошенников
В даркнете все чаще появляются жалобы на «ИИ-мусор», который проникает в обсуждения, гайды и технические посты. Об этом сообщает Wired со ссылкой на исследование ученых из Кембриджского университета и Университета Стратклайда.
Эксперты изучили около 98 000 цепочек на хакерских форумах, связанных с ИИ, с момента выхода ChatGPT в 2022 году и до конца 2025 года. За этот период отношение к генеративным моделям в киберкриминальной среде заметно изменилось.
Согласно исследованию, если раньше хакеры обсуждали, как нейросети помогут писать вредоносный код или искать уязвимости, то теперь они все чаще жалуются на поток «ИИ-слопа»: бесполезных постов и примитивных гайдов по базовым темам.
Кроме того, некоторые участники форумов недовольны тем, что ответы LLM в поисковой выдаче Google снижают посещаемость самих площадок, что негативно отражается на маркетинге хакерских площадок.
При этом исследователи не заметили серьезного влияния ИИ на деятельность малоопытных мошенников. Он пока не снизил порог входа для новичков и не привел к кардинальным изменениям в индустрии кибербезопасности.
Связанная с Беларусью хакерская группировка атаковала госорганы Украины
В марте 2026 года зафиксирована новая кампания хакерской группировки Ghostwriter (также известной как UNC1151 и FrostyNeighbor), нацеленная на государственные и оборонные структуры Украины. Об этом сообщили исследователи ESET.
Группу Ghostwriter, специализирующуюся на кибершпионаже в Восточной Европе, связывают с Беларусью.
По данным экспертов, злоумышленники рассылали фишинговые PDF-файлы, имитирующие документы компании «Укртелеком». Вредоносные ссылки в документе вели к загрузке ПО PicassoLoader, которое затем разворачивало популярный инструмент для атак Cobalt Strike.
Хакеры использовали проверку по IP-адресу — зараженный архив загружался только в том случае, если жертва находилась на территории Украины.
Исследователи отметили высокую «операционную зрелость» группы. PicassoLoader может отправлять «отпечаток» системы на серверы хакеров каждые 10 минут. На основе этих данных операторы Ghostwriter принимают решение о продолжении атаки на конкретную цель.
В отличие от кампаний в Польше или Литве, где группировка выбирает широкий спектр целей от логистики до медицины, в Украине ее деятельность сфокусирована исключительно на военном и правительственном секторах.
Хакеры TeamPCP выставили на продажу репозитории Mistral AI
Хакерская группировка TeamPCP пригрозила слить в сеть исходный код проектов Mistral AI, если не найдется покупатель на похищенные данные. Об этом сообщает BleepingComputer.
Mistral AI — французская компания в сфере искусственного интеллекта, основанная бывшими исследователями Google DeepMind и Meta. Она специализируется на разработке LLM с открытыми весами и проприетарного ПО.
В своем обращении на хакерском форуме злоумышленники запросили $25 000 за пакет, включающий почти 450 репозиториев.
В официальном заявлении для BleepingComputer представители Mistral AI подтвердили компрометацию системы управления кодом. Взлом стал следствием масштабной атаки на цепочку поставок программного обеспечения под названием Mini Shai-Hulud.
В Mistral AI утверждают, что затронутые данные не являются частью основного исходного кода.
Согласно опубликованной информации, атака развивалась в несколько этапов. Сначала злоумышленники получили доступ к официальным пакетам TanStack и Mistral AI с помощью украденных учетных данных CI/CD. После вредоносная кампания распространилась на сотни проектов в реестрах npm и PyPI, включая разработки UiPath, Guardrails AI и OpenSearch.
В Mistral AI признали, что злоумышленники на короткое время внедрили вредоносный код в некоторые SDK-пакеты компании
Источник: BleepingComputer.
Группировка TeamPCP утверждает, что скачала почти 5 ГБ внутренних данных, которые Mistral использует для обучения, тонкой настройки (fine-tuning), сравнительного тестирования и проведения экспериментов.
Хакеры заявили, что выгрузят в открытый доступ информацию, если не найдут покупателя за неделю.
Также на ForkLog:
Злоумышленники вывели $10 млн из THORChain.
Альянс Tether, TRON и TRM Labs заморозил криптоактивы на $450 млн.
Ethereum Foundation запустила сервис для защиты от слепого подписания транзакций.
В CertiK заявили об «индустриализации» криптокраж Северной Кореей.
Аккаунт Roaring Kitty взломали для дампа токена RKC.
В Google зафиксировали рост популярности ИИ среди киберпреступников.
В LayerZero признали ошибки после взлома Kelp на $292 млн.
Что почитать на выходных?
В новом материале ForkLog разобрался, как главный программный подрядчик Министерства обороны США и спецслужб Palantir Technologies «обеспечивает очевидное превосходство Запада».
https://forklog.com/exclusive/ai/vsevidets-tehnologicheskoj-respubliki
Thorchain Hack Drains $10M – ZachXBT Reports
