В мире информационной безопасности появился новый тревожный тренд: злоумышленники начали использовать большие языковые модели (LLM) не только для генерации кода или фишинговых писем, но и в качестве интеллектуального "шлюза" для принятия решения о запуске атаки. Специалисты исследовательского подразделения Unit 42 компании Palo Alto Networks детально изучили уникальный образец вредоносного ПО, написанного на Go, который перед активацией полноценного трояна запрашивает "разрешение" у искусственного интеллекта. Этот случай демонстрирует эволюцию техник уклонения от анализа и создает новые вызовы для систем защиты.
Описание
Образец, получивший название "ai.exe", представляет собой загрузчик весом 27 мегабайт. Его ключевая особенность - интеграция с API OpenAI. Вместо того чтобы выполнять вредоносные действия сразу, программа собирает с атакуемого хоста 19 различных параметров, формирует из них детальный отчёт и отправляет его модели GPT-4. Искусственный интеллект должен проанализировать данные и решить, безопасно ли запускать основную нагрузку в данной среде. Только получив команду "execute" с уровнем достоверности не менее 80%, загрузчик расшифровывает и выполняет скрытый в себе троян типа Sliver. В противном случае программа засыпает на 30 секунд и повторяет цикл сбора телеметрии и запроса к ИИ.
Такой подход кардинально меняет парадигму традиционного анализа угроз. Вместо статичных списков артефактов виртуальных машин или сигнатур процессов, злоумышленник делегирует решение сложной нейросети, способной оценивать контекст целиком. Встроенный в бинарный файл системный промпт, который описали исследователи, прямо инструктирует GPT-4 "действовать как продвинутый ИИ для операционной безопасности (OPSEC) скрытного загрузчика" и "принимать решения как участник красной команды". Модели предписано игнорировать собственный процесс загрузчика и стандартные пользовательские приложения, которые нормальны для рабочей станции, но часто отсутствуют в песочницах. Вместо этого ИИ должен holistically, то есть целостно, оценивать остальные данные: список процессов, наличие средств защиты (AV/EDR), активность пользователя, сетевую конфигурацию, подключенные USB-устройства и многое другое, чтобы выявить признаки аналитической среды.
Технический разбор образца показывает полностью работоспособную цепочку исполнения. После запуска загрузчик немедленно расшифровывает с помощью алгоритма RC4 огромный blob-объект с шелл-кодом размером около 18 мегабайт. Далее он трижды, с интервалом в пять секунд, снимает слепок списка процессов, чтобы установить динамический базовый уровень. Затем начинается цикл, в котором собирается полная телеметрия, включая количество отклонений от базового уровня, что позволяет отследить недавно запущенные или завершённые процессы. Эти данные в формате JSON отправляются в OpenAI. Ответ модели также парсится как JSON с полями "execute", "confidence" и "reason". Если условие выполнено, загрузчик выделяет память с правами на запись и исполнение (RWX), копирует туда расшифрованный шелл-код и передаёт ему управление.
Внутри шелл-кода скрывается полнофункциональный имплант Sliver - популярный открытый фреймворк для администрирования удалённых систем, используемый как пентестерами, так и злоумышленниками. Имплант обладает обширным набором возможностей: выполнение команд и .NET-сборок, дамп процессов, скриншоты, перемещение по сети, повышение привилегий и поддержка расширений WASM. Однако анализ выявил важнейшую деталь: указанный в коде адрес командно-административного сервера (C2) - 192.168.1.140 - является приватным адресом из диапазона RFC 1918 и недоступен из интернета. Кроме того, загрузчик выводит подробные отладочные сообщения в консоль, а ключ API OpenAI хранится в открытом виде и уже отозван компанией.
Именно эти факторы, наряду с результатами запусков в песочницах, позволяют экспертам сделать вывод, что данный образец является скорее материалом для разработки или тестирования, а не операционным инструментом, использованным в реальной атаке. За пять запусков в период с сентября по декабрь 2025 года полезная нагрузка Sliver ни разу не была активирована, а трафик на приватный C2-адрес отсутствовал. В некоторых случаях GPT-4 отвечал отказом, в других - соединение с API не устанавливалось из-за отозванного ключа.
Тем не менее, значимость этой находки невозможно переоценить. Она демонстрирует готовую архитектуру, дистанция от которой до боевого применения сводится к замене приватного C2 на реальную инфраструктуру, обфускации ключа API и удалению логов. Использование LLM в качестве адаптивного шлюза безопасности представляет качественно новый класс угроз. Такой загрузчик может обходить традиционные песочницы, которые не эмулируют сложное пользовательское окружение, и принимает решение на основе совокупности косвенных признаков, а не жёстко заданных правил. Более того, модель не обязательно должна быть GPT-4; любое облачное LLM с API может выполнять эту роль при минимальной стоимости запроса.
Для специалистов по безопасности этот инцидент служит сигналом к пересмотру стратегий обнаружения. Активность, связанная с запросами к сторонним API-сервисам ИИ из подозрительных процессов, должна рассматриваться как потенциально опасная. Мониторинг сетевого трафика на такие конечные точки, как api.openai.com, особенно в сочетании с последующими попытками выделения исполняемой памяти, становится критически важным. Хотя данный конкретный образец не нанёс ущерба, он чётко указывает направление, в котором будут развиваться техники уклонения в ближайшем будущем, делая атаки более изощрёнными и контекстно-зависимыми.
Индикаторы компрометации
URLs
- http://192.168.1.140
- https://api.openai.com/v1/chat/completions
JA3 fingerprint
- ceb419f4203d3159e7a7cb3aa7efd5bd
SHA256
- 02058499890fee68e0bacdd4d2e34f95da6f610314e972c3c179b057f67ddeee
- 052d5220529b6bd4b01e5e375b5dc3ffd50c4b137e242bbfb26655fd7f475ac6
- c324419afdec0cb37dd31312555bf30af7c3eace6978346f1a28240d31151e63
