Cercetătorii în securitate cibernetică au identificat o amenințare deosebit de îngrijorătoare: un program malițios care folosește capabilități de tip Large Language Model (LLM) pentru a genera la cerere cod de tip ransomware sau pentru a crea un reverse-shell.
Instrumentul, denumit de echipa SentinelOne SentinelLABS „MalTerminal”, a fost prezentat public la conferința LABScon 2025 și reprezintă, potrivit autorilor, una dintre primele implementări cunoscute în care un LLM este integrat direct într-un malware, scrie The Hacker News.
Ce este nou: LLM-uri „înglobate” în instrumente malițioase
MalTerminal pare să conțină integrarea unei versiuni GPT-4 accesate printr-un endpoint API, element care sugerează că autorii probei au folosit funcționalități de generare a codului la rulare.
Alături de fișierul executabil pentru Windows au fost descoperite scripturi Python cu funcționalități similare și un set de unelte conexe, unele cu rol defensiv, altele cu potențial abuziv.
În raport, cercetătorii menționează că nu există dovezi că acest sample a fost utilizat în atacuri reale, rămâne posibil ca el să fi fost creat ca proof-of-concept sau ca instrument pentru testare internă (red team).
Includerea modelelor LLM în instrumentele de atac marchează o schimbare de calitate în practiciile adversarilor: modelele pot genera logică malițioasă la cerere, adapta payload-uri sau produce comenzi complexe în timp real, complicând detectarea prin semnături convenționale și sporind capacitatea atacatorilor de a improviza.
Prompt-injection, găzduire falsă și automatizare la scară
Raportările recente completează tabloul: firme precum StrongestLayer au arătat cum atacatorii includ instrucțiuni ascunse (prompt injection) în corpul unor e-mailuri sau atașamente pentru a păcăli sistemele automate de analiză bazate pe AI și a permite livrarea unor mesaje phishing în inbox-uri.
Atacuri care exploatează vulnerabilități cunoscute sunt combinate cu tehnici de „LLM poisoning” sau cu folosirea platformelor moderne de hosting (Netlify, Vercel etc.) pentru a lansa pagini capcană la cost redus și viteză mare, notează și raportul Trend Micro.
Efectul agregat este îngrijorător: instrumentele AI accelerează elaborarea texte-lor de inginerie socială, automatizează generarea de cod malițios şi pot submina mecanismele automate de apărare, determinând atacuri mai rafinate şi scalabile.
Ce pot face organizațiile și utilizatorii
Specialiștii recomandă abordări prudente şi multilaterale: menținerea sistemelor și a aplicațiilor patch-uite, monitorizarea semnelor comportamentale anormale, implementarea controalelor multiple de securitate și evaluarea critică a instrumentelor AI integrate în fluxurile operaționale.
Educația utilizatorilor rămâne esențială pentru a reduce succesul campaniilor de phishing, iar furnizorii de soluții de securitate trebuie să adapteze detecțiile pentru a face față comportamentelor dinamice generate de LLM-uri.
Semnalul transmis de MalTerminal și de atacurile asociate nu este doar tehnic, este strategic: apariția LLM-enable malware arată că viitorul confruntării cibernetice va include modele AI nu doar ca instrumente de atac, ci și ca elemente care pot redefini rapid tacticile și contra-măsurile. Pentru apărători, ritmul adaptării trebuie să rămână la fel de rapid.