Cercetătorii în securitate au descoperit un program maliţios capabil să folosească un model de tip Large Language Model (LLM) pentru a genera la cerere cod de tip ransomware sau pentru a crea un reverse-shell. Instrumentul, denumit „MalTerminal” de echipa SentinelOne SentinelLABS şi prezentat la conferinţa LABScon 2025, este una dintre primele implementări cunoscute în care un LLM este încorporat direct într-un malware, scrie The Hacker News.
Analiza sugerează că MalTerminal ar folosi o versiune GPT-4 accesată printr-un endpoint API, ceea ce îi permite să genereze logică maliţioasă la rulare. Alături de fişierul executabil pentru Windows au fost descoperite şi scripturi Python, precum şi alte unelte conexe, unele cu funcţii defensive, altele cu potenţial abuziv. Deşi nu există dovezi că acest exemplu a fost folosit în atacuri reale, este posibil ca el să fie doar un proof-of-concept sau un instrument de testare internă.
Integrarea LLM-urilor în instrumentele de atac reprezintă o schimbare majoră: modelele pot adapta payload-uri în timp real, genera comenzi complexe şi improviza la nivel de logică maliţioasă, ceea ce face mult mai dificilă detectarea prin metode convenţionale.
Descoperirea vine pe fondul unor tendinţe similare. Alte rapoarte arată că atacatorii folosesc prompt injection ascuns în e-mailuri sau ataşamente pentru a păcăli filtrele AI şi a introduce mesaje phishing în inbox-uri. În plus, tehnici precum „LLM poisoning” sunt combinate cu exploatarea vulnerabilităţilor cunoscute şi cu utilizarea platformelor moderne de hosting pentru lansarea rapidă şi ieftină a paginilor capcană.
Efectul cumulat este îngrijorător: AI accelerează redactarea mesajelor de inginerie socială, automatizează producţia de cod maliţios şi reduce eficienţa mecanismelor automate de apărare, ducând la atacuri mai sofisticate şi mai scalabile.
Specialiştii recomandă o abordare multilaterala: actualizarea constantă a sistemelor, monitorizarea comportamentelor anormale, implementarea unor straturi suplimentare de securitate şi evaluarea critică a instrumentelor AI integrate. Educaţia utilizatorilor rămâne crucială pentru reducerea succesului phishingului, iar furnizorii de securitate trebuie să îşi adapteze detecţiile la noua realitate.
Semnalul transmis de MalTerminal este strategic: malware-ul asistat de LLM marchează începutul unei noi etape în confruntarea cibernetică, în care modelele AI devin atât arme, cât şi factori care obligă la regândirea rapidă a tacticilor de apărare.
