Kínai spear phishing kampányok LLM-el
A Volexity elemzése szerint a kínai államhoz köthető UTA0388 nevű csoport 2025 nyarán intenzív spear phishing kampányokat indított Észak-Amerikában, Ázsiában és Európában, amelyek során LLM-eket, például a ChatGPT-t is bevetették a támadások tervezéséhez. Az első fázisban tömeges, célzott e-maileket küldtek fiktív szervezetek nevében, amelyek rosszindulatú archívumokat (ZIP/RAR) tartalmaztak. Ezekben az archívumokban volt egy legitim exe állomány és egy search order hijacking-en keresztül betöltött GOVERSHELL nevű malware.
A támadók augusztus után áttértek a “rapport-building phishing” módszerre: először ártalmatlan levelet küldtek, majd csak több üzenetváltás után próbálták meg rávenni a célszemélyeket a rosszindulatú fájl megnyitására. Az UTA0388 az OpenAI ChatGPT-jét nemcsak a célzott levelek nyelvi kidolgozására, hanem a malware fejlesztéséhez és céllista összeállításához is használja. Öt különböző GOVERSHELL variánst figyeltek meg a kutatók, melyek PowerShell és cmd parancsokkal távoli vezérlést végeznek, és fejlett kommunikációs (például TLS, AES, WebSocket) és perzisztencia technikákat alkalmaznak.
A kampányok több nyelven zajlottak és több összefüggéstelen, nem emberi hiba is jellemző volt rájuk: például kevert, össze nem illő identitások, hibás e-mail címek, értelmetlen fájlnevek vagy “hallucinált” részletek, ami az LLM-ek limitált kontextuskezelésére utal. Bizonyítékot találtak a kutatók arra, hogy a GOVERSHELL fejlesztése kínai nyelvi környezetben történt, a támadások pedig gyakran ázsiai biztonságpolitikai témákat céloztak.
Sok esetben felesleges vagy furcsa mellékletek is megjelentek az archívumokban, mint pornográf vagy vallási tartalmak, melyek szintén az automatizált előkészítésre utalnak. A kampány infrastruktúrája gyorsan változik: a támadók az IP-alapú vezérlésről DNS-védett domainnevekre és Cloudflare mögötti elrejtésre váltottak.
Az elemzés összességében arra a következtetésre jutott, hogy az UTA0388 csoport magas fokú automatizációt és mesterséges intelligenciát (LLM) használ a spear phishing tervezés és malware fejlesztés során, ami kihívást jelent a védelem és a detekció tekintetében is.
