Kiberszereplők és AI eszközök használata
A Google Threat Intelligence Group jelentése szerint a kiberbűnözők és államok által támogatott fenyegető csoportok már nem csak a termelékenység növelésére használják a mesterséges intelligenciát, hanem aktívan bevetik az AI-eszközöket a kibertámadások minden szakaszában – a felderítéstől a phishingcsalásokon és adatelhárításon keresztül a kártevők fejlesztéséig és a támadások dinamikus alkalmazkodásáig.
2025-ben a GTIG először észlelt olyan kártevőprogram-családot, amely futás közben, AI-képességekre támaszkodva képes dinamikusan megváltoztatni a viselkedését, így nehezítve a felfedezést és az elhárítást. Ez a fejlődés azt mutatja, hogy a fenyegető csoportok egyre inkább integrálják az AI-t a hagyományos eszközök mellé, és a feketepiacon is egyre több, AI-val felszerelt, többfunkciós eszköz jelenik meg, amelyek főként phishingkampányok támogatására szolgálnak.
Júniusban a kutatók egy PROMPTFLUX néven nyomon követett dropper-t azonosítottak, amely arra utasítja az LLM-et, hogy átírja a saját forráskódját, hogy elkerülje a felderítést. A PROMPTFLUX a jelentés szerint még tesztelési fázisban van, és nem képes kompromittálni az áldozatok hálózatait vagy eszközeit.
Egy másik új rosszindulatú programot, a PROMPTSTEAL-t júniusban az Oroszországhoz kapcsolódó APT28 (más néven BlueDelta, Fancy Bear és FROZENLAKE) használt ukrán célpontok ellen, és LLM-eket használt parancsok generálására, ahelyett, hogy azokat a rosszindulatú programba kódolta volna. A jelentés szerint ez az eset volt az első alkalom, hogy a Google megfigyelte, hogy egy ilyen viselkedésű malware-t. A kutatók ezeket a módszereket kísérleti jellegűnek nevezték, de jól mutatják, hogyan változnak a fenyegetések, és hogy a fenyegető szereplők hogyan tudják potenciálisan integrálni az AI-képességeket a jövőbeli behatolási tevékenységekbe. A támadók túllépnek a vibe coding és a 2024-ben megfigyelt alapszintű AI-eszközök technikai támogatásra való felhasználásán – áll a jelentésben.
A Google emellett azonosított három további malware-t, amelyek szintén AI képességeket használ a rosszindulatú szoftver viselkedésének dinamikus megváltoztatására. A FRUITSHELL egy nyilvánosan elérhető, PowerShell-ben írt reverse shell, amely távoli kapcsolatot létesít egy konfigurált C2 szerverrel, és lehetővé teszi a kiberszereplőnek, hogy tetszőleges parancsokat hajtson végre egy kompromittált rendszeren. Ez a kódcsalád olyan hard-coded prompt-okat tartalmaz, amelyek célja az LLM-alapú biztonsági rendszerek által végzett észlelés vagy elemzés megkerülése.
A Go nyelven írt PROMPTLOCK egy cross-platform ransomware, amelyet PoC-ként azonosítottak. LLM-et használ a rosszindulatú Lua szkriptek dinamikus generálásához és végrehajtásához. Képességei között szerepel a fájlrendszer felderítése, az adatok kiszivárogtatása és a fájlok titkosítása Windows és Linux rendszereken egyaránt.
A JavaScript nyelven írt hitelesítő adatok ellopására szolgáló QUIETVAULT a GitHub és NPM tokeneket célozza meg. A megszerzett hitelesítő adatokat egy nyilvánosan hozzáférhető GitHub repo létrehozásával szivárogtatják ki. A QUIETVAULT AI parancsokat és a hosztra telepített AI CLI-eszközöket használ, hogy más potenciális secret-eket keressen a fertőzött rendszeren, és ezeket a fájlokat is kiszivárogtassa a GitHub-ra.
A jelentés szerint Észak-Korea, Irán és Kína állam által támogatott csoportjai is aktívan kísérleteznek az AI-eszközök káros célú felhasználásával, például a Gemini generatív AI-rendszerrel, hogy hatékonyabbá tegyék a felderítést, a csalólevelek készítését, vagy akár a parancsnoki és irányító szerverek (C2) fejlesztését és az adatelhárítást. A jelentés kiemeli, hogy az AI-eszközök elterjedése és az alvilági fórumokon folyó beszélgetések alapján várhatóan egyre gyakrabban fogják használni a bűnözők is. A fenyegető csoportok már most is kísérleteznek azzal, hogyan lehetne az AI-t használni például a sebezhetőségek kutatására, a kártevők fejlesztésére, vagy akár a társadalmi mérnökölés és a mélyhamisítás (deepfake) terén. A Google szerint ez a trend 2025-ben is folytatódni fog, és a védőknek is egyre inkább AI-alapú megoldásokra kell támaszkodniuk, hogy lépést tudjanak tartani a fenyegetésekkel.
