GTIG：朝鲜针对LLM攻击和加密货币的新阶段

GTIG：朝鲜的 LLM 攻击和加密目标新阶段、无需重新编译直接在运行时使用 PROMPTFLUX 和 PROMPTSTEAL，以及威胁加密钱包的 BIGMACHO 传播方式不断扩大。

Stack 10% More on Your First BTCC Deposit

Start Trading

更多关于人工智能驱动的黑客生态系统的快速发展和对加密行业的威胁的信息

GTIG AI Threat Tracker强调了一些关键指标，表明对手已经从纯粹的 "生产力 "使用 AI 转向在运行时依靠 LLM 执行代码，从而开启了一类自主自适应恶意软件，其中的逻辑是从模型中加载的，而不是预先嵌入的。他们记录了首批按需生成脚本和函数、自我混淆并在运行时改变行为的系列--PROMPTFLUX和PROMPTSTEAL。

PROMPTFLUX说明了运行时对 LLM 的依赖。VBScript 抓取程序通过 Gemini API 请求混淆技术，并将改写后的版本保存到启动程序，还试图通过可移动媒体和网络共享进行传播。我们还发现了一个 "思考机器人 "模块，它使用硬编码密钥和机器可解析提示定期查询 "gemini-1.5-flash-latest"，只需要VBScript代码即可规避杀毒软件；响应会被记录到%TEMP%\thinking_robot_log.txt。还有一个变种，它能以小时为单位对源代码进行完全再生，同时保留有效载荷、API 密钥和自我再生逻辑。

PROMPTSTEAL已在行动中使用。该恶意软件伪装成图像生成应用程序，并通过 Hugging Face API 向 LLM Qwen2.5-Coder-32B-Instruct 请求单行 Windows 命令，以收集系统信息并将文档复制到指定目录，随后进行外泄。这是恶意软件在现场查询 LLM 的首个记录案例；很可能使用了窃取的 API 标记。新样本增加了混淆功能并更改了 C2。

加密货币采用期间的大规模流动性使其成为主要目标

UNC1069 集群已变得至关重要，它使用 Gemini 进行加密和钱包应用数据位置的研究，生成加密诱饵和附带信息，包括会议重新安排和工作相关借口的西班牙语文本。到了后期，这种情况会转变为试图获取用于窃取加密货币的代码，并编写伪装成软件更新的欺诈性指令，以提取凭证。

同样，还有冒充加密行业人物的深度伪造：引导受害者安装假冒的 "Zoom SDK"，然后向系统发送BIGMACHO后门。朝鲜的 UNC4899 组织在这方面表现突出，它也利用 Gemini 进行开发和运营，包括协助 C2 和混淆，将工具扩展到边缘设备和现代浏览器。

关键的一点是，这不再是新技术的实验，而是一整套方法和工具的生态系统。地下人工智能服务市场增长极为迅速：英语和俄语论坛提供用于网络钓鱼、恶意软件生成和漏洞发现的多功能工具。盈利模式复制了合法服务--从带有广告的免费到带有图像生成、API 访问和 Discord 的付费计划。所有这些都大大降低了进入门槛，无需操作员具备较高的技术水平就能扩大活动规模。

前所未有的系统安全优先级

由于加密货币的采用速度极快，并吸引了大量资金，因此对攻击者来说，加密货币成为了更具吸引力的攻击目标，攻击者直接瞄准的是资金，而不是数据，因为数据的货币化是一个单独的步骤。因此，攻击者也在改进他们的方法和工具，寻求最有效的途径来达到主要目标--资金。这是另一个极其响亮的信号，要求所有公司前所未有地提高安全的优先级，要求安全团队完善其解决方案，以确保 Web3 不仅具有长期的可行性，而且具有弹性。 请继续关注去 中心化金融、加密货币行业和区块链发展的最新更新和机遇。