Изненада: Gemini вече пише вируси в реално време. И променя кода на всеки час
Зловреден програмен продукт от клавиатурата в облака – смешно и ужасно по едно и също време.
Гугъл Threat Intelligence Group (GTIG) разгласява обновен разбор, който демонстрира, че нападателите са минали от елементарното потребление на изкуствения разсъдък за ускорение на рутинните задания към вграждане на AI модели непосредствено в зловредния програмен продукт, което открива нов стадий на корист: генериране на код „ тъкмо в точния момент “ и динамично модифициране на държанието на зловредния програмен продукт. В отчета си GTIG в детайли разказва откритите софтуерни фамилии, методите за заобикаляне на рестриктивните мерки на моделите, образци за подкрепяни от страната групировки и ограниченията, които компанията към този момент е приложила за обезвреждане на активността и усилване на отбраната в моделите.
GTIG фиксира първите образци за злотворен програмен продукт, който получава достъп до LLM моделите по време на осъществяване – най-ярките образци са вътрешните тракери PROMPTFLUX и PROMPTSTEAL.
PROMPTFLUX е пробен VBScript дропър, който получава достъп до модела Gemini посредством API, като изисква замаскиране на личния си код и се пренаписва в автоматизирано зареждане; той има модул „ Thinking Robot “ (Мислещ робот), който постоянно пита модела за нови варианти за заобикаляне на антивирусните стратегии.
PROMPTSTEAL е пакет на Python, който употребява API на платформата Hugging Face и модела Qwen2.5-Coder-32B-Instruct, с цел да генерира едноредови команди за Windows, които по-късно се извършват локално, с цел да събират систематична информация и документи. GTIG оценяваPROMPTFLUX като намиращ се в развой на разработка, до момента в който PROMPTSTEAL към този момент е употребен в разнообразни интервенции и е обвързван с групата за офанзиви APT28 (FROZENLAKE), като известна интензивност е доказана от CERT-UA под етикета LAMEHUG.
В отчета са посочени и други мостри:
FRUITSHELL – обществен PowerShell reverse-shell със препоръки за заобикаляне на LLM защитите;
PROMPTLOCK – концептуално оръжие за криптиране, основано на Go, което употребява LLM за генериране на Lua скриптове;
QUIETVAULT – JS валидатор, който краде GitHub/NPM токените и качва резултатите посредством обществени складове.
Всички тези образци показват разнообразни подходи към консолидираното на ИИ – от регенериране и замаскиране до генериране на команди и добиване на секрети от хоста. GTIG отбелязва, че някои механизми към момента не са дейни (оставени са като коментари) и служат като лабораторна подготовка за бъдещи реализации, само че сигналът за посоката на развиване на заканите към този момент е явен.
Отделно от това в отчета се разисква техника, при която нападателите употребяват разкази за обществено инженерство в моделни поръчки, с цел да заобиколят отговорите на отбраната. GTIG е документирала сюжети, при които участниците се показват за състезатели или студенти в CTF, като карат модела да създава механически потребна информация, която другояче би била блокирана в други контексти. Подобни трикове са употребявани от TEMP.Zagros (MUDDYCOAST) и други групи, а един подобен действен бъг в сигурността е довел до откриване на C2 домейни и ключове за криптиране непосредствено в разговорите с модела, което е помогнало на откривателите да претоварят инфраструктурата на нападателите.
В отчета се акцентира, че спонсорираните от страната участници от КНДР, Иран и КНР не престават да употребяват генеративни принадлежности по цялата верига на офанзивата: разузнаване, подготовка на фишинг материали, създаване на C2 и усъвършенствана ексфилтрация. Примери за това са UNC1069 (MASAN), който се е насочил към кражба на криптоактиви и дийпфейкове, UNC4899 (PUKCHONG), който е употребявал модели за създаване на експлойти и обмисляне на офанзиви по веригата за доставки, и APT41, който е употребявал Gemini за подкрепяне на създаването на код и замаскиране. APT42 се опита да създаде „ сътрудник за обработка на данни “, който да преобразува естествените поръчки в SQL поръчки за добиване на сензитивна информация – опити, които GTIG блокира посредством деактивиране на сметки.
Освен техническите трикове, GTIG отбелязва зрелостта на подземния пазар: през 2025 година се появиха богати на функционалности принадлежности и услуги, предлагащи генериране на фишинг имейли, основаване на дийпфейкове, автоматизирано генериране на злотворен програмен продукт и абонаменти с достъп до API. Пазарът приспособява комерсиалните модели на законните услуги – безвъзмездни базови версии с платени абонаменти за разширени функционалности и достъп до общности в Discord. Това намалява бариерата за нахлуване и дава на по-малко опитните нападатели мощни благоприятни условия.
GTIG в детайли разказва техниките за потребление на интерфейсите на LLM: зловредният програмен продукт може да вмъква твърдо кодирани ключове на API, да изисква „ последната постоянна версия “ на модела, с цел да се опълчи на отписването на по-стари версии, да изисква излаз „ единствено код “ във формат, подобаващ за автоматизирано осъществяване, и да записва отговорите на модела за по-късен разбор. Тези техники усилват оцеляването и адаптивността на зловредния програмен продукт, като вършат класическите отбрани, основани на сигнатури, по-малко ефикасни.
В отговор на тези закани Гугъл оповестява за многостранна реакция: деактивиране на активите на атакуващите, взаимна работа на DeepMind и GTIG за подсилване на класификаторите и вградените ограничавания на моделите, внедряване на Secure AI Framework (SAIF) и отваряне на набори от принадлежности за разработчици за сигурна разработка на изкуствен интелект, както и потребление на сътрудници като Big Sleep за автоматизирано търсене на уязвимости и пробния CodeMender за автоматизирано премахване на сериозните неточности в кода. GTIG акцентира, че доста произшествия са били обезвредени точно с помощта на оперативната информация и бързите дейности за деактивиране на сметки и инфраструктура.
В отчета са изложени и на практика рекомендации за бранителите: наблюдаване за аномална интензивност на API ключовете, разкриване на необикновени достъпи до външни LLM услуги от процеси, надзор на целостта на изпълнимите файлове, използване на процедури за отбрана на тайните на хостовете и отбягване на сляпото осъществяване на команди, генерирани от външни модели. GTIG акцентира, че остава значима ролята на бързия продан на информация сред доставчиците на интернет услуги, откривателите и правоприлагащите органи, който към този момент е оказал помощ за прекъсването на редица акции.
Накрая GTIG предизвестява – актуалните образци са пробни, само че посоката на развиване на заканите е ясна: изкуственият разсъдък прави зловредния програмен продукт по-адаптивен, а ъндърграунда – по-достъпен. Компанията акцентира отговорността на промишлеността и приканва за стандартизиране на безвредните практики за създаване и внедряване на системи с ИИ, с цел да се сведат до най-малко рисковете от всеобщото приемане на такива техники.
