Google hôm thứ Tư cho biết họ đã phát hiện một tác nhân đe dọa không xác định đang sử dụng một loại mã độc thử nghiệm Visual Basic Script (VB Script) có tên PROMPTFLUX. Mã độc này tương tác với API của mô hình trí tuệ nhân tạo (AI) Gemini của Google để tự viết lại mã nguồn nhằm cải thiện khả năng che giấu (obfuscation) và né tránh (evasion).
"PROMPTFLUX được viết bằng VBScript và tương tác với API của Gemini để yêu cầu các kỹ thuật che giấu và né tránh VBScript cụ thể nhằm tạo điều kiện cho việc 'tự sửa đổi tức thì' (just-in-time self-modification), có khả năng để né tránh phát hiện dựa trên chữ ký tĩnh (static signature-based detection)," Google Threat Intelligence Group (GTIG) cho biết trong một báo cáo chia sẻ với The Hacker News.
Tính năng mới lạ này là một phần của thành phần "Thinking Robot" của mã độc, định kỳ truy vấn mô hình ngôn ngữ lớn (LLM), trong trường hợp này là Gemini 1.5 Flash hoặc phiên bản mới hơn, để có được mã mới nhằm tránh bị phát hiện. Điều này được thực hiện bằng cách sử dụng một API key được mã hóa cứng để gửi truy vấn đến điểm cuối API của Gemini.
Lời nhắc (prompt) được gửi đến mô hình vừa rất cụ thể vừa có thể được máy phân tích, yêu cầu thay đổi mã VB Script để né tránh phần mềm diệt virus và hướng dẫn mô hình chỉ xuất ra mã nguồn.
Ngoài khả năng tái tạo mã, mã độc này còn lưu phiên bản đã bị che giấu mới vào thư mục Khởi động của Windows để thiết lập sự bền vững (persistence) và cố gắng lây lan bằng cách sao chép chính nó vào các ổ đĩa di động và các thư mục chia sẻ mạng được ánh xạ.
"Mặc dù chức năng tự sửa đổi (AttemptToUpdateSelf) đã được bình luận (commented out), sự hiện diện của nó, kết hợp với việc ghi nhật ký phản hồi AI vào '%TEMP%\thinking_robot_log.txt,' rõ ràng cho thấy mục tiêu của tác giả là tạo ra một script biến hình (metamorphic script) có thể tiến hóa theo thời gian," Google nói thêm.
Gã khổng lồ công nghệ cũng cho biết họ đã phát hiện nhiều biến thể của PROMPTFLUX tích hợp khả năng tái tạo mã dựa trên LLM, với một phiên bản sử dụng prompt để viết lại toàn bộ mã nguồn của mã độc mỗi giờ bằng cách hướng dẫn LLM hoạt động như một "chuyên gia che giấu VB Script".
PROMPTFLUX được đánh giá là đang trong giai đoạn phát triển hoặc thử nghiệm, hiện tại mã độc này chưa có bất kỳ phương tiện nào để thỏa hiệp mạng hoặc thiết bị của nạn nhân. Hiện vẫn chưa rõ ai đứng sau mã độc này, nhưng các dấu hiệu cho thấy đây là một tác nhân đe dọa có động cơ tài chính, đã áp dụng một phương pháp tiếp cận rộng rãi, không phân biệt địa lý và ngành nghề để nhắm mục tiêu vào nhiều người dùng.
Các Mã Độc Khác Lợi Dụng AI Được Google Phát Hiện
Google cũng lưu ý rằng các đối thủ đang không chỉ sử dụng AI để tăng năng suất đơn thuần mà còn tạo ra các công cụ có khả năng điều chỉnh hành vi của chúng trong quá trình thực thi, chưa kể đến việc phát triển các công cụ chuyên dụng sau đó được bán trên các diễn đàn ngầm để kiếm lợi tài chính. Một số trường hợp mã độc được hỗ trợ bởi LLM khác mà công ty đã quan sát được bao gồm:
- FRUITSHELL, một reverse shell được viết bằng PowerShell bao gồm các prompt được mã hóa cứng để bỏ qua việc phát hiện hoặc phân tích bởi các hệ thống bảo mật dựa trên LLM.
- PROMPTLOCK, một ransomware đa nền tảng được viết bằng Go sử dụng LLM để tự động tạo và thực thi các script Lua độc hại tại thời gian chạy (được xác định là một proof-of-concept).
- PROMPTSTEAL (còn gọi là LAMEHUG), một data miner được tác nhân nhà nước Nga APT28 sử dụng trong các cuộc tấn công nhắm vào Ukraine, truy vấn Qwen2.5-Coder-32B-Instruct để tạo lệnh thực thi thông qua API cho Hugging Face.
- QUIETVAULT, một credential stealer được viết bằng JavaScript nhắm mục tiêu vào các token GitHub và NPM.
Các Tác Nhân Đe Dọa Lợi Dụng Gemini
Từ góc độ của Gemini, công ty cho biết họ đã quan sát thấy một tác nhân đe dọa liên quan đến Trung Quốc đang lạm dụng công cụ AI này để tạo ra nội dung mồi nhử (lure content) thuyết phục, xây dựng cơ sở hạ tầng kỹ thuật và thiết kế công cụ để trích xuất dữ liệu (data exfiltration).
Trong ít nhất một trường hợp, tác nhân đe dọa được cho là đã điều chỉnh prompt của họ bằng cách tự nhận mình là người tham gia vào một cuộc thi capture-the-flag (CTF) để vượt qua các rào cản bảo vệ và lừa hệ thống AI trả về thông tin hữu ích có thể được tận dụng để khai thác (exploit) một endpoint bị thỏa hiệp.
"Tác nhân này dường như đã học hỏi từ tương tác này và sử dụng chiêu bài CTF để hỗ trợ phishing, khai thác (exploitation) và phát triển web shell," Google cho biết. "Tác nhân này đã đặt trước nhiều prompt của họ về việc khai thác phần mềm và dịch vụ email cụ thể với các nhận xét như 'Tôi đang làm việc với một vấn đề CTF' hoặc 'Tôi hiện đang tham gia một CTF, và tôi thấy ai đó từ đội khác nói ...' Cách tiếp cận này đã cung cấp lời khuyên về các bước khai thác tiếp theo trong một 'kịch bản CTF'."
Các trường hợp lạm dụng Gemini khác của các tác nhân nhà nước (state-sponsored actors) từ Trung Quốc, Iran và Triều Tiên để tinh giản hoạt động của họ, bao gồm trinh sát (reconnaissance), tạo mồi nhử phishing, phát triển command-and-control (C2) và trích xuất dữ liệu, được liệt kê dưới đây:
- Việc lạm dụng Gemini bởi một tác nhân nghi ngờ có liên hệ với Trung Quốc trong các nhiệm vụ khác nhau, từ tiến hành trinh sát ban đầu về các mục tiêu quan tâm và kỹ thuật phishing đến phân phối payload và tìm kiếm sự hỗ trợ về di chuyển ngang (lateral movement) và các phương pháp trích xuất dữ liệu.
- Việc lạm dụng Gemini bởi tác nhân nhà nước Iran APT41 để hỗ trợ che giấu mã và phát triển mã C++ và Golang cho nhiều công cụ, bao gồm một framework C2 có tên OSSTUN.
- Việc lạm dụng Gemini bởi tác nhân nhà nước Iran MuddyWater (còn gọi là Mango Sandstorm, MUDDYCOAST hoặc TEMP.Zagros) để tiến hành nghiên cứu hỗ trợ phát triển mã độc tùy chỉnh để hỗ trợ truyền tệp và thực thi từ xa, đồng thời phá vỡ các rào cản an toàn bằng cách tự nhận là sinh viên đang thực hiện dự án cuối kỳ đại học hoặc viết một bài báo về an ninh mạng.
- Việc lạm dụng Gemini bởi tác nhân nhà nước Iran APT42 (còn gọi là Charming Kitten và Mint Sandstorm) để tạo tài liệu cho các chiến dịch phishing thường liên quan đến việc mạo danh các cá nhân từ các think tank, dịch các bài báo và tin nhắn, nghiên cứu quốc phòng Israel, và phát triển một "Data Processing Agent" chuyển đổi các yêu cầu ngôn ngữ tự nhiên thành các truy vấn SQL để thu thập thông tin chi tiết từ dữ liệu nhạy cảm.
- Việc lạm dụng Gemini bởi tác nhân đe dọa Triều Tiên UNC1069 (còn gọi là CryptoCore hoặc MASAN) – một trong hai nhóm cùng với TraderTraitor (còn gọi là PUKCHONG hoặc UNC4899) đã kế nhiệm APT38 (còn gọi là BlueNoroff) hiện đã không còn hoạt động – để tạo tài liệu mồi nhử cho social engineering, phát triển mã để đánh cắp tiền điện tử, và tạo hướng dẫn giả mạo mạo danh bản cập nhật phần mềm để trích xuất thông tin đăng nhập của người dùng.
- Việc lạm dụng Gemini bởi TraderTraitor để phát triển mã, nghiên cứu exploit và cải thiện công cụ của chúng.
Hơn nữa, GTIG cho biết họ gần đây đã quan sát thấy UNC1069 sử dụng hình ảnh và video deepfake mạo danh các cá nhân trong ngành tiền điện tử trong các chiến dịch social engineering của họ để phân phối một backdoor có tên BIGMACHO đến các hệ thống nạn nhân dưới vỏ bọc một bộ phát triển phần mềm (SDK) của Zoom. Đáng chú ý là một số khía cạnh của hoạt động này có những điểm tương đồng với chiến dịch GhostCall được Kaspersky tiết lộ gần đây.
Sự phát triển này diễn ra khi Google cho biết họ kỳ vọng các tác nhân đe dọa sẽ "chuyển đổi quyết liệt từ việc sử dụng AI như một ngoại lệ sang sử dụng nó như một tiêu chuẩn" để tăng tốc độ, phạm vi và hiệu quả hoạt động của họ, qua đó cho phép họ thực hiện các cuộc tấn công quy mô lớn.
"Khả năng tiếp cận ngày càng tăng của các mô hình AI mạnh mẽ và số lượng doanh nghiệp ngày càng nhiều tích hợp chúng vào hoạt động hàng ngày tạo ra điều kiện hoàn hảo cho các cuộc tấn công prompt injection," công ty cho biết. "Các tác nhân đe dọa đang nhanh chóng tinh chỉnh các kỹ thuật của họ, và bản chất chi phí thấp, lợi nhuận cao của các cuộc tấn công này khiến chúng trở thành một lựa chọn hấp dẫn."
