Çin’e uyumlu gelişmiş Kalıcı Tehdit (APT) Grubu, küresel kampanyaları için kötü amaçlı yazılım geliştirmek ve sofistike mızrak-akraba e-postaları geliştirmek için Openai’nin ChatGPT platformunu aktif olarak kullanıyor.
Güvenlik firması Volexity, aktörü UTA0388 olarak izler ve Haziran 2025’ten bu yana operasyonlarını analiz etmiştir ve grubun Kuzey Amerika, Asya ve Avrupa’daki hedeflere karşı saldırılarını otomatikleştirmek ve geliştirmek için büyük dil modelleri (LLMS) kullandığına dair yüksek bir güvenle sonuçlanır.
Volexity ilk olarak UTA0388’i, kıdemli araştırmacıları fabrikasyon ama meşru sesli organizasyonlardan taklit eden son derece uyarlanmış mızrak-aktı kampanyaları yürüttüğünü tespit etti. İlk hedef, kötü amaçlı arşivlere yol açan bağlantıları tıklamaya yönelik hedefleri sosyal olarak mühendislik yapmaktı.
Üç ay boyunca, tehdit oyuncusu operasyonlarını genişleterek İngilizce, Çince, Japonca, Fransızca ve Almanca e -posta gönderdi. UTA0388’in taktikleri, kötü niyetli bir bağlantı göndermeden önce iyi huylu bir konuşmaya ilk önce bir hedefle uğraştıkları “Rapport-Building Kimlik avı” nı içerecek şekilde gelişti.
Dönüş Kötü amaçlı yazılım
Yük, meşru bir yürütülebilir ve kötü amaçlı dinamik bağlantı kütüphanesi (DLL) içeren bir zip veya rar arşivi ile teslim edilir.
Kullanıcı yürütülebilir dosyayı çalıştırdığında, kötü amaçlı yükü yüklemek için DLL arama sırası kaçırma adı verilen bir teknik kullanılır, bir arka kapı voleksliği voleksents adını vermiştir.
Araştırmacılar, saldırganlara uzaktan komut yürütme yetenekleri sağlayan ve kalıcılık için planlanan görevleri kullanan ve aktif ve devam eden gelişimi gösteren beş ayrı Gönderi varyantı tespit ettiler.
Kötü amaçlı yazılım varyantları, iletişim protokollerinde ve yeteneklerinde önemli yeniden yazmalar gösterir, C ++ ‘dan Golang’a geçer ve farklı şifreleme yöntemleri kullanır.
LLM kullanımının değerlendirilmesi, daha sonra bir Openai raporu tarafından desteklenen bir bulgu olan tek bir veri noktasından ziyade kanıtların biriktirilmesinden kaynaklanmaktadır. Temel bir gösterge, kimlik avı kampanyalarında bulunan “halüsinasyonlar” ve saçma detaylardır.
UTA0388’in e -postaları genellikle “Kopenhag Yönetişim Enstitüsü” gibi fabrikasyon varlıklar içeriyordu ve şüpheli sıralı kalıplara sahip sahte telefon numaraları kullandı. Grup ayrıca tutarlı bir tutarlılık eksikliği sergiledi.
Örneğin, tek bir e -posta bazen gönderen adı, e -posta adresi ve imza bloğu arasında üç farklı kişi içerir. Volexity, bir Mandarin konu satırı ve bir Alman bedeniyle İngilizce konuşan hedeflere gönderilen e-postaları gözlemledi ve bağlam açılış otomasyonu önerdi.
Hedefleme, kimlik avı e-postaları var olmayan adreslere gönderildiğinden, insan incelemesi olmadan otomasyon belirtileri gösterdi. first.last@ genel web sayfalarından kazınmış.
Bazı durumlarda, arşivler, operasyonel amaca hizmet etmeyen ve tespit edilmemeye çalışan bir insan operatör tarafından önlenecek olan Budist tezahüratların pornografik görüntüleri ve ses kayıtları da dahil olmak üzere gereksiz “Paskalya Yumurtaları” içeriyordu.
Volexity, UTA0388’in, Asya jeopolitik sorunlarına odaklanan hedefleme profiline ve bir Dönüştürme örneğinde bulunan basitleştirilmiş Çince karakterleri içeren geliştirici yolları gibi teknik eserlere dayanarak Çin devletinin çıkarına çalıştığına dair yüksek güvenle değerlendirir.
Kötü amaçlı yazılım yığınının sürekli ve okit edici olmayan yeniden yazılması, kod üretiminde LLM yardımı hipotezini daha da desteklemektedir.
Bu yapay zeka destekli kampanyaların nihai başarısını ölçmek zor olsa da, kusurlarıyla bile yüksek miktarda uyarlanmış kimlik avı içeriği üretme yeteneği önemli bir tehdit oluşturur.
Etkinlik, tehdit aktörlerinin yapay zekayı operasyonlarını ölçeklendirmek, daha ikna edici yemler yaratmak ve kötü amaçlı yazılım gelişimini hızlandırmak için nasıl entegre ettiklerini göstermektedir.
Mevcut Backdoor’un sürekli evrimi, UTA0388’in aktif ve kalıcı bir tehdit olarak kaldığını ve gelecekteki kampanyalar için tradecraft’ı uyarladığını gösteriyor.
Openai, Çin ve Kuzey Kore’den korsanlarla bağlantılı ChatGPT hesaplarına, kötü amaçlı yazılım geliştirilmesi için platformu kullanmaya çalışan bir yasak uyguladı.
Cyber Awareness Month Offer: Upskill With 100+ Premium Cybersecurity Courses From EHA's Diamond Membership: Join Today
