Jak útočníci v roce 2026 zneužili ChatGPT, Claude, DeepSeek a Copilot jako návnadu pro phishing

• Rozsah a cíle: První vlna rozeslala 4 500 e-mailů obětem v Jihoafrické republice. Větší, paralelní kampaň využívající stejnou infrastrukturu odeslala až 100 000 e-mailů za jediný den cílům ve Švýcarsku, Rakousku a Jihoafrické republice, se zaměřením na organizace v oblasti vysokého školství a profesionálních služeb .
• Technika: Útok využíval vícestupňový přesměrovací řetězec. Oběti, které klikly na odkaz "aktualizovat platbu", byly přesměrovány přes legitimní CRM platformu, sledovací doménu Amazonu a zkracovač URL adres, než přistály na kompromitovaném e-shopu, který na několika po sobě jdoucích stránkách sbíral osobní údaje a kompletní údaje z platebních karet .

2. AiTM útok s tématem Claude (20.–22. dubna 2026)

Tato sofistikovaná kampaň pro krádež přihlašovacích údajů se vydávala za Anthropic s cílem obejít vícefaktorové ověřování (MFA) .

• Rozsah a cíle: Útok cílil na více než 2 000 organizací, přičemž 62 % obětí bylo ve Spojených státech, 18 % ve Velké Británii a 9 % v Indii. Společnosti poskytující finanční služby tvořily 8 % cílů .
• Technika: Oběti obdržely e-mail tvrdící porušení zásad přijatelného používání s PDF přílohou nazvanou "Vyplnit_a_podepsat_Claude_odvolaci_formular.pdf" (SHA-256: 791efb...d40e) . PDF navedlo uživatele přes výzvu k ověření Cloudflare a falešnou vstupní stránku ve stylu Claude na falešnou přihlašovací stránku Microsoftu navrženou k zachycení tokenů relace – klasická technika AiTM (Adversary-in-the-Middle), která obchází MFA .

3. Falešný repozitář DeepSeek V4 a Infostealer (24. dubna 2026)

Tato kampaň ukázala, jak rychle dokáží útočníci zneužít humbuk kolem AI k cílení na technické publikum .

• Rychlost a rozsah: Během 45 minut od chvíle, co DeepSeek představil svůj model V4, vytvořili útočníci podvodnou organizaci na GitHubu s názvem "DeepSeek-V4", doplněnou o autenticky vyhlížející ukradené značky a přesná benchmarková data . Repozitář získal 91 hvězdiček a během čtyř dnů se umístil na prvním místě v Bingu pro vyhledávání výrazů jako "DeepSeek v4 weights github" .
• Škodlivý kód: Hostované archivy repozitáře obsahovaly zavaděč (loader), který nainstaloval Vidar infostealer, nástroj určený ke krádeži přihlašovacích údajů, cookies prohlížeče a dat z kryptoměnových peněženek . Microsoft zjistil, že stejný hash zavaděče byl znovu použit v souborech vydávajících se za jiné populární AI nástroje včetně GPT-5.5, Claude Code a Manus AI, což ukazuje na strategii snadno vyměnitelných návnad .

4. Malvertisingová kampaň Storm-3075 s podvodným podepisováním kódu (březen–květen 2026)

Tato kampaň, připisovaná aktérovi s počátečním přístupem (initial access broker) známému jako Storm-3075, využívala škodlivé reklamy k nasazení podepsaného malwaru v masivním měřítku .

• Rozsah a cíle: 13. března 2026 cílila jediná kampaň na více než 66 000 zařízení prostřednictvím škodlivých vyskakovacích oken na stránkách s bezplatným streamováním filmů a propagovala falešné produkty jako "Awesome AI Windows Plugin" a "Flux Pro AI" .
• Technika: Malware byl distribuován s platným digitálním podpisem podvodně získaným od Fox Tempest, což je služba nabízející podepisování malwaru jako službu (malware-signing-as-a-service). Díky tomu se spustitelný soubor jevil operačnímu systému jako legitimní a obcházel standardní bezpečnostní kontroly . Dne 19. května 2026 Microsoft zveřejnil soudní spor proti Fox Tempest u okresního soudu USA pro jižní obvod New Yorku, zabavil jeho webové stránky a vyřadil z provozu stovky virtuálních strojů provozujících tuto službu .

Širší ekosystém podvodů s AI tématikou

Tyto čtyři kampaně nejsou ojedinělými incidenty. Jsou součástí širšího, adaptivního ekosystému podvodů s tematikou AI, který spoléhá na sadu sofistikovaných a opakovaně použitelných technik:

• Vícestupňové přesměrování: Útočníci často směrují oběti přes legitimní služby, jako jsou CRM systémy, zkracovače URL a cloudové platformy, aby se vyhnuli automatické detekci před doručením finální škodlivé části .
• SEO otrava a falešné repozitáře: Kampaň DeepSeek poukazuje na nebezpečný vývoj v útocích na dodavatelský řetězec. Podvodné repozitáře a stránky na GitHubu jsou optimalizovány pro vyhledávače, aby předčily legitimní zdroje, a cílí tak přímo na vývojáře a výzkumníky hledající váhy modelů a kód .
• Podepisování malwaru jako služba: Právní krok proti Fox Tempest odhaluje profesionalizovanou kriminální infrastrukturu, která poskytuje podvodně vydané certifikáty pro podepisování kódu více aktérům, což umožňuje nepodepsanému malwaru získat důvěru na úrovni operačního systému .
• Vyměnitelné návnady: Opětovné použití jediného binárního souboru zavaděče, přebaleného pod názvy různých AI modelů, jako jsou GPT-5.5, Claude Code, Kimi a Manus AI, ukazuje, že útočníci mohou okamžitě přizpůsobit své kampaně nástroji, který právě vzbuzuje největší zájem veřejnosti .

Proč je tento posun důležitý

Microsoft vyhodnocuje, že návnady s tematikou AI "odrážejí posun v sociálním inženýrství, který pravděpodobně přetrvá jako dlouhodobá taktika používaná aktéry hrozeb, od kyberkriminálních skupin až po národní státy" . Nenahrazují tím tradiční phishingové návnady, jako jsou falešné faktury nebo oznámení o doručení. Spíše vytvářejí mocný nový útočný prostor postavený na obrovské veřejné důvěře a zvědavosti, kterou AI platformy vyvolaly, což je riziko, na které bezpečnostní školení mnoha organizací ještě plně nereagovalo . Cílení na vývojáře prostřednictvím kampaně DeepSeek je obzvláště znepokojivé, protože poukazuje na riziko v dodavatelském řetězci, které je na počátku nesčetných podnikových aplikací a interních nástrojů postavených na těchto modelech .