周三,网络安全公司Expel披露了一起由朝鲜国家支持的网络犯罪行动,该行动在2000多台计算机上安装了窃取凭证的恶意软件,主要针对从事小型加密货币发行、NFT创作和Web3项目的开发者。该黑客组织被Expel称为HexagonalRodent,利用包括OpenAI、Cursor和Anima在内的美国AI工具,几乎“全程AI辅助”完成了入侵活动,从编写恶意软件到搭建用于钓鱼的假冒公司网站。借助AI,该组织在三个月内从受害者处窃取了高达1200万美元的加密货币。
安全研究员Marcus Hutchins指出,HexagonalRodent的攻击并不复杂,最令人震惊的是AI工具如何让一个技术水平有限的团队完成了高额盗窃。Hutchins曾因阻止朝鲜黑客制造的WannaCry勒索软件而闻名,他表示:“这些黑客没有编程和搭建基础设施的能力,AI让他们能够完成原本做不到的事情。”
HexagonalRodent通过伪造科技公司招聘信息,诱骗加密货币开发者,甚至用AI网页设计工具制作完整的假网站。受害者被要求下载并完成带有恶意代码的编程测试,恶意软件窃取了包括加密钱包密钥在内的凭证。尽管攻击手法有效,但黑客在基础设施安全上存在漏洞,泄露了用于编写恶意软件的AI提示词和受害者钱包数据库,使Expel能够估算出盗窃金额。
Hutchins分析了恶意软件样本,发现代码中夹杂大量表情符号和英文注释,这在朝鲜黑客中极为罕见,反映出代码可能完全由AI生成。表情符号的使用被认为是AI生成代码的典型特征。尽管恶意软件遵循常见的行为模式,理论上应能被大多数终端检测和响应工具发现,但由于攻击目标多为个人,许多受害者未安装相关安全软件,使得AI生成的恶意软件得以逃避检测。
Hutchins认为,AI对朝鲜尤其有用,因为该国能够招募大量技术水平有限的IT人员参与黑客活动,利用AI弥补技术不足,成功实施攻击。Expel估计HexagonalRodent团队约有31名黑客参与,且人数持续增加,因为AI让新手也能完成过去需要团队支持的任务。
HexagonalRodent只是朝鲜庞大网络犯罪活动的一部分,后者涉及大规模加密货币盗窃、勒索软件、间谍活动和诈骗。研究人员将朝鲜网络行动比作“国家支持的犯罪集团”,其资金用于核武器研发、基础设施建设和规避国际制裁。
朝鲜不断将生成式AI融入黑客和诈骗流程,以提升效率。朝鲜军方下属的227研究中心专注于开发AI黑客工具。日常操作中,朝鲜黑客频繁使用商业AI工具。安全公司DTEX研究员Michael Barnhart表示,朝鲜多年来广泛试验和使用AI,利用AI加速漏洞武器化和开发。
例如,朝鲜IT人员利用AI助手和换脸深度伪造技术应对虚假面试,微软安全研究发现朝鲜黑客用AI制作假身份证、研究工具、润色英语和调查安全漏洞。部分黑客还用AI大规模搭建网络基础设施,增加侦测难度。
OpenAI和Anthropic均发现朝鲜黑客使用其平台。去年2月,OpenAI封禁了涉嫌朝鲜的账户,这些账户在招聘诈骗中多次使用ChatGPT生成技术面试答案和代码。Anthropic在8月的威胁情报报告中指出,朝鲜IT人员在无AI辅助下难以完成基本技术任务,且有黑客意图用其Claude模型增强恶意软件和开发带有恶意代码的技能测试,随后Anthropic禁止了相关账户。
OpenAI向WIRED表示,其工具未赋予黑客“全新能力”,但确实提升了攻击的速度和规模。OpenAI未透露是否因Expel发现封禁账户。Cursor称已阻止HexagonalRodent使用其工具,正与其他模型提供商合作调查。AI网页设计公司Anima也在与Expel合作,阻止黑客滥用其软件。Anima CEO Avishay Cohen表示:“这是对Anima编码代理的滥用,我们正积极应对。”
Hutchins认为,网络安全行业应关注AI在实际黑客行动中的应用,而非假想中的未来漏洞发现AI。他说:“我们担心未来的天网入侵网络,但现实中,国家级威胁已经利用AI快速启动行动,且没有任何新奇之处。AI带来的真实威胁正在发生,而非人们浪费口舌的那些假想。”
