Специалисты Google Threat Intelligence Group сообщают о появлении нового типа кибератак, в которых злоумышленники внедряют искусственный интеллект в код вредоносных программ. Это позволяет вирусам адаптироваться к системам защиты.
В качестве примера приводится дроппер PromptFlux, написанный на VBScript. Он сохраняет свои модифицированные копии в папке автозагрузки Windows, на съемных носителях и сетевых дисках. Его ключевой модуль, Thinking Robot, был интегрирован с API языковой модели Gemini, обращаясь к ней за новыми способами обхода антивирусов. Доступ этой программы к API Gemini уже заблокирован, а ее связь с известными хакерскими группировками пока не установлена.
Среди других подобных разработок исследователи называют FruitShell, PromptSteal, QuietVault и PromptLock. Эти продукты используют языковые модели для генерации команд, поиска данных или их шифрования на разных операционных системах.
Эксперты подчеркивают, что перечисленные вредоносные программы носят экспериментальный характер, легко обнаруживаются традиционными средствами защиты и пока не применяются хакерскими группами. Однако сами подобные разработки знаменуют серьезный прорыв в создании автономного и адаптивного вредоносного ПО, и в будущем атак с использованием ИИ станет значительно больше.
Параллельно Google зафиксировала множество случаев, когда известные хакерские группировки уже использовали модель Gemini для своих целей. Китайская APT41 применяла ее для усовершенствования своего фреймворка и сокрытия кода, иранская MuddyCoast — для отладки вредоносного ПО. Северокорейская группировка Masan использовала ИИ для кражи криптовалют, создания дипфейков и фишинговых писем на разных языках, а группа Pukchong — для генерации кодов атак на сетевое оборудование и браузеры.