Nowe złośliwe oprogramowanie oparte na sztucznej inteligencji potrafi dynamicznie zmieniać swoje zachowanie. Hakerzy rozwijają sposoby zmylenia LLM budując m.in. scenariusze “na studenta” czy “na uczestnika turnieju CTF” a przemysł cyberprzestępczy profesjonalizuje się i obniża barierę wejścia.
Grupa Google Threat Intelligence Group (GTIG) ogłosiła, że cyberzagrożenia weszły w nową fazę operacyjną. Przeciwnicy przestali wykorzystywać sztuczną inteligencję jedynie dla zwiększenia produktywności. Obecnie cyberprzestępcy rozpoczęli wdrażanie złośliwego oprogramowania wspomaganego przez AI w aktywnych operacjach. Nowe narzędzia są w stanie zmieniać swoje zachowanie w trakcie wykonywania zadań.
Raport „GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools” opisuje, w jaki sposób cyberprzestępcy, w tym sponsorowani przez rządy, stosują AI w całym cyklu ataku.
AI „Just-in-Time” w złośliwym oprogramowaniu
GTIG zidentyfikowała rodziny złośliwego oprogramowania, takie jak PROMPTFLUX i PROMPTSTEAL, które wykorzystują duże modele językowe (LLM) podczas wykonywania. Taką cechę nowego malware’u nazwano pierwszym użyciem AI „Just-in-Time”.
PROMPTFLUX to eksperymentalny dropper (napisany w VBScript), który używa Google Gemini API do żądania konkretnych technik zaciemniania i omijania wykrycia. Moduł „Thinking Robot” jest zaprojektowany do okresowego odpytywania Gemini w celu uzyskania nowego kodu, co umożliwia stworzenie skryptu, który może ewoluować w czasie.
PROMPTSTEAL to z kolei moduł do ekstrakcji danych (data miner), który został zaobserwowany w aktywnych operacjach i jest powiązany z rosyjskim aktorem państwowym APT28 (znanym jako FROZENLAKE), używającym go przeciwko Ukrainie. PROMPTSTEAL wykorzystuje LLM (Qwen2.5-Coder-32B-Instruct) poprzez API Hugging Face, aby generować polecenia Windows do zbierania informacji systemowych i dokumentów.
Zamiast kodować złośliwe funkcje na stałe, narzędzia te generują skrypty dynamicznie i zaciemniają (obfuskacja) własny kod, aby uniknąć wykrycia. Choć technika ta jest jeszcze we wczesnej fazie, to stanowi znaczący krok w kierunku bardziej autonomicznego i adaptacyjnego złośliwego oprogramowania.
Oszukiwanie strażników AI: “na studenta” i “na CTF”
Cyberprzestępcy stosują w swoich promptach sposoby przypominające socjotechniki, aby ominąć zabezpieczenia bezpieczeństwa AI.
Jednym ze sposobów jest na przykład podszywanie się pod uczestników konkursu „Capture-the-Flag” (CTF). Chiński rządowy haker, po otrzymaniu odmowy, przeformułował zapytanie, przedstawiając się jako uczestnik CTF, aby przekonać Gemini do dostarczenia informacji, które pomogłyby w eksploatacji systemu i tworzeniu narzędzi.
Sprawdza się też metoda “na studenta/badacza”. Irański haker powiązany z rządem lub służbami tego kraju, TEMP.Zagros (MUDDYCOAST), używał Gemini do prowadzenia badań wspierających rozwój niestandardowego złośliwego oprogramowania, udając studenta pracującego nad projektem uniwersyteckim lub piszącego artykuł. W jednym z przypadków doprowadziło to do krytycznej awarii bezpieczeństwa operacyjnego, ponieważ ujawnił dzięki Gemini wrażliwe, zakodowane na stałe informacje, w tym domenę serwera C2 i klucz szyfrujący.
Dojrzewanie podziemnego rynku narzędzi AI
W ocenie GTIG, w 2025 roku podziemny rynek nielegalnych narzędzi AI dojrzał. Badaczom z Google udało się zidentyfikować szereg ofert narzędzi zaprojektowanych do wspierania phishingu, tworzenia złośliwego oprogramowania i badania podatności.
Dostępne na forach anglojęzycznych i rosyjskojęzycznych narzędzia i usługi pozwalają na obniżenie bariery wejścia dla mniej wyrafinowanych cyberprzestępców. Reklamowane możliwości obejmują generowanie deepfake’ów (do phishingu lub omijania wymagań KYC), tworzenie złośliwego oprogramowania, wsparcie dla phishingu oraz pomoc techniczną i generowanie kodu. Ceny i model dostarczania usług są podobne do modeli usług i rozwiązań legalnych narzędzi, oferuje się np. płatne subskrypcje z dostępem do bardziej zaawansowanych funkcji, takich jak generowanie obrazu lub dostęp do API.
Chińskie, irańskie i koreańskie grupy APT lubią GenAI
Autorzy raportu GTIG zaobserwowali ponadto, że hakerzy sponsorowani przez państwa takie jak Korea Północna, Iran i Chiny chętnie wykorzystują narzędzia generatywnej AI do usprawnienia wszystkich etapów swoich operacji.
Na przykład hakerzy z powiązanej z KRLD grupy UNC1069 (MASAN) wykorzystują Gemini do badań nad kryptowalutami, tworzenia materiałów phishingowych (np. w języku hiszpańskim) i konstruowania fałszywych instrukcji w celu kradzieży danych uwierzytelniających. UNC1069 wykorzystywał również obrazy i nagrania wideo typu deepfake podszywające się pod osoby z branży kryptowalut.
Z kolei chińscy rządowi hakerzy wykorzystywali Gemini do rozpoznania celów, badań technik phishingu, uzyskiwania wsparcia technicznego dla serwerów C2, ale także do wspierania kampanii na mniej znanych powierzchniach ataku, takich jak infrastruktura chmurowa, vSphere i Kubernetes. Chińska grupa APT41 używała z kolei Gemini do pomocy w opracowywaniu kodu C++ i Golang oraz zaciemniania kodu.
Irański APT42 wykorzystał Gemini do tworzenia materiałów do kampanii phishingowych (często podszywając się pod osoby z renomowanych organizacji) oraz jako narzędzie do tłumaczenia i badań. APT42 próbował również stworzyć „Agenta Przetwarzania Danych”, który konwertowałby zapytania w języku naturalnym na zapytania SQL w celu uzyskania wglądu w wrażliwe dane osobowe.
Co robi Google?
Google deklaruje, że w obliczu wykorzystania swoich rozwiązań przez cyberprzestępców, będzie dążyć do wzmacniania zabezpieczeń przy użyciu zebranych przez GTIG informacji. Posłużą one m.in. do ulepszania klasyfikatorów i modeli (w tym Gemini), aby uniemożliwić im asystowanie w opisywanych typach atakach. Google rozwija również szersze ramy bezpieczeństwa AI, wprowadzając model Secure AI Framework (SAIF). Dodatkowo, Google DeepMind używa agenta AI o nazwie Big Sleep do aktywnego poszukiwania nieznanych luk w zabezpieczeniach oprogramowania.
