Хакери навчилися використовувати ШІ для створення динамічного шкідливого ПЗ

Кілька нових сімейств шкідливого ПЗ використовують великі мовні моделі для хакерських атак, свідчать результати дослідження Google.

У звіті Google Threat Intelligence Group (GTIG) йдеться, що команді експертів вдалося відстежити щонайменше п’ять різних штамів ПЗ з підтримкою ШІ. Деякі з них уже застосовуються в атаках.

Виявлені сімейства програмного забезпечення динамічно генерують шкідливі скрипти, обфускують власний код для уникнення виявлення, а також залучають ШІ-моделі для створення зловмисних функцій залежно від ситуації замість жорсткого прописування їх заздалегідь.

Підхід відрізняється від традиційної розробки шахрайських програм, коли логіка ПЗ із самого початку зашита в бінарному коді.

Передаючи частину функцій штучному інтелекту, програмне забезпечення може постійно вносити зміни для посилення стійкості до систем виявлення й протидії.

У технічному описі GTIG розповіли, що сімейство PROMPTFLUX запускає процес Thinking Robot, який щогодини викликає API Gemini для перезапису власного коду VBScript. PROMPTSTEAL, пов’язане з російською групою APT28, використовує модель Qwen для генерації команд Windows за запитом.

Аналітики виявили також активність північнокорейської групи UNC1069 (Masan), яка зловживала Gemini. Вона відома кампаніями з викрадення криптовалют із використанням соціальної інженерії.

Запити до ШІ від Google включали інструкції з пошуку даних застосунку гаманця, генерації скриптів для доступу до зашифрованого сховища та складання багатомовного фішингового контенту, націленого на співробітників криптовалютних бірж.

Застосування штучного інтелекту хакерами — давня проблема.

У лютому 2024 року стало відомо про використання ШІ зловмисниками з КНДР для реалізації шкідливих схем і зламів. Представник розвідки Південної Кореї заявив, що злочинці із сусідньої країни застосовують генеративний штучний інтелект для обману та компрометації співробітників служби безпеки.

У червні 2025 року ШІ-інструмент Xbow від однойменної компанії очолив таблицю білих хакерів, які виявили та повідомили про найбільшу кількість вразливостей у ПЗ великих компаній. Xbow допоміг знайти недоліки в системах Amazon, Disney, PayPal, Sony Group Corporation.

У жовтні криптограф Mysten Labs Костас Халкіас попередив, що хакери з Північної Кореї впроваджують штучний інтелект на всі етапи кібератак — від фішингу до відмивання коштів. За його словами, ШІ став серйознішою загрозою для криптовалют, ніж квантові обчислення.

«Нейромережі — найкращий інструмент, який коли-небудь був у мене як у білого хакера. І ви можете уявити, що відбувається, коли він потрапляє не в ті руки», — сказав експерт.

Він додав, що угруповання на кшталт Lazarus використовують LLM для автоматичного сканування тисяч смартконтрактів.

Нагадаємо, у вересні експерти виявили на тіньових форумах новий ШІ-інструмент для автоматизації атак на електронну пошту під назвою SpamGPT. Його рекламують як «революцію» для кіберзлочинців.