GTIG: новый этап атак на LLM и криптовалюты со стороны Северной Кореи

GTIG: Новый этап LLM-атак и криптоцелей со стороны Северной Кореи, использование PROMPTFLUX и PROMPTSTEAL непосредственно во время выполнения без перекомпиляции, а также расширение способов доставки BIGMACHO, угрожающих криптокошелькам.

Stack 10% More on Your First BTCC Deposit

Start Trading

Подробнее о стремительном росте хакерской экосистемы, основанной на искусственном интеллекте, и угрозах криптоиндустрии

GTIG AI Threat Tracker выделяет ключевые индикаторы того, что противники перешли от чисто "продуктивного" использования ИИ к выполнению кода на основе LLM во время исполнения, открыв класс автономных адаптивных вредоносных программ, в которых логика загружается из модели, а не встраивается заранее. Они зарегистрировали первые семейства, которые генерируют скрипты и функции по требованию, обфусцируют себя и меняют поведение во время выполнения - PROMPTFLUX и PROMPTSTEAL.

PROMPTFLUX демонстрирует зависимость от LLM во время выполнения. Дроппер на VBScript запрашивает методы обфускации через Gemini API и сохраняет переписанную версию в Startup, а также пытается распространиться через съемные носители и сетевые ресурсы. Обнаружен модуль "Думающий робот", который периодически запрашивает "gemini-1.5-flash-latest" с жестко закодированным ключом и машиноразбираемым запросом, требующим только код VBScript для обхода антивирусов; ответы записываются в %TEMP%\thinking_robot_log.txt. Существует вариант с ежечасной полной регенерацией источника с сохранением полезной нагрузки, API-ключа и логики саморегенерации.

PROMPTSTEAL уже использовался в операциях. Вредонос маскируется под приложение для создания изображений и через Hugging Face API запрашивает однострочные команды Windows у LLM Qwen2.5-Coder-32B-Instruct для сбора системной информации и копирования документов в указанную директорию с последующей эксфильтрацией. Это первый зарегистрированный случай, когда вредоносное ПО запрашивает LLM в полевых условиях; вероятно, используются украденные API-токены. Новые образцы добавляют обфускацию и изменяют C2.

Массовая ликвидность в период принятия криптовалют делает их главной мишенью

Кластер UNC1069 стал критически важным, используя Gemini для исследований криптовалют и расположения данных о кошельках, генерируя криптоприманки и сопроводительные сообщения, включая испаноязычные тексты для переноса встреч и предлоги, связанные с работой. На более поздних этапах это перерастает в попытки получить код для кражи криптовалюты и подготовить мошеннические инструкции, замаскированные под обновления программного обеспечения для извлечения учетных данных.

В этом же ряду - использование deepfakes, выдающих себя за деятелей криптоиндустрии: жертву заставляют установить поддельный "Zoom SDK", после чего в систему доставляется бэкдор BIGMACHO. Здесь выделяется северокорейская группа UNC4899, которая также использовала Gemini для разработки и операций, включая помощь в C2 и обфускации, расширяя инструментарий на граничные устройства и современные браузеры.

Ключевой момент заключается в том, что это уже не эксперименты с новой технологией, а целая экосистема методов и инструментов. Рынок подпольных ИИ-услуг растет чрезвычайно быстро: Англо- и русскоязычные форумы предлагают многофункциональные инструменты для фишинга, генерации вредоносных программ и обнаружения уязвимостей. Модель монетизации копирует легальные сервисы - от freemium с рекламой до платных тарифных планов с генерацией изображений, доступом к API и Discord. Все это значительно снижает барьер входа и позволяет масштабировать кампании, не требуя от операторов высокого технического уровня.

Приоритет безопасности системы высок как никогда

Поскольку внедрение криптовалют происходит чрезвычайно быстро и привлекает огромные капиталы, они становятся гораздо более привлекательной целью для злоумышленников, которые нацелены непосредственно на средства, а не на данные, монетизация которых является отдельным этапом. Поэтому и здесь злоумышленники совершенствуют свои методы и инструменты, ища наиболее эффективный путь к главной цели - средствам. Это еще один громкий сигнал для всех компаний, чтобы они как никогда раньше повысили приоритет безопасности, а команды безопасности усовершенствовали свои решения, чтобы обеспечить не только долгосрочную жизнеспособность, но и устойчивость Web3. Следите за последними обновлениями и возможностями в области децентрализованных финансов, криптоиндустрии и развития блокчейна.