Число атак с применением загрузчика BlackHawk выросло на 250% за месяц

Загрузчик BlackHawk стали использовать в атаках в 3,5 раза чаще. Специалисты компании BI.ZONE сообщили о резком росте — на 250% — в феврале и начале марта 2026 года. Особенность этих атак заключается в том, что для доставки и запуска BlackHawk используются загрузчики, созданные с помощью генеративного искусственного интеллекта.

BlackHawk представляет собой загрузчик-инжектор, написанный на языке программирования C#. С его помощью атакующие доставляют в скомпрометированные системы различные вредоносные программы. Чаще всего в этом качестве выступают стилеры VIPKeyLogger, PhantomStealer и Formbook, а также троян удалённого доступа XWorm.

На устройство жертвы BlackHawk загружается не сразу, а в результате сложной цепочки действий. Для этого используются другие загрузчики, которые написаны методом вайб-кодинга, предполагающим активное применение генеративного искусственного интеллекта.

Эксперты сообщили, что предшествующие загрузчики в цепочке атак содержат множественные строки, указывающие на генерацию вредоносного кода. Среди характерных признаков использования ИИ отметили наличие в коде подробных комментариев, отладочных строк и понятных названий переменных. Также специалисты указали на отсутствие специальных методов запутывания кода, то есть его обфускации.

Ранее эксперты обнаружили командный сервер хактивистского кластера Forbidden Hyena. На нём были найдены скрипты с явными признаками ИИ-генерации. В целом за 2025 год количество атак с использованием ИИ увеличилось на 93%.