LLM을 이용해 진화(?)하는 멀웨어 발견
던진도넛

Lv.1 던진도넛 (121.♡.239.28)

2025년 11월 7일 PM 01:23 · 수정됨(17:27)

조회 1,628 공감 0

https://thehackernews.com/2025/11/google-uncovers-promptflux-malware-that.html


구글은 수요일에 PROMPTFLUX 라는 실험적 Visual Basic Script(VB Script) 맬웨어를 사용하는 알려지지 않은 위협 행위자를 발견했다고 밝혔습니다 . 이 맬웨어 는 구글의 Gemini 인공지능(AI) 모델 API와 상호 작용하여 난독화 및 회피 기능을 개선하는 자체 소스 코드를 작성합니다.

Google 위협 인텔리전스 그룹(GTIG)은 The Hacker News와 공유한 보고서에서 "PROMPTFLUX는 VB 스크립트로 작성되었으며 Gemini의 API와 상호 작용하여 특정 VB 스크립트 난독화 및 회피 기술을 요청하여 '적시' 자체 수정을 용이하게 하며 정적 서명 기반 탐지를 회피할 가능성이 높습니다." 라고 밝혔습니다 .

이 새로운 기능은 "Thinking Robot" 구성 요소의 일부로, 탐지를 피하기 위해 주기적으로 대규모 언어 모델(LLM)인 Gemini 1.5 Flash 또는 이후 버전을 쿼리하여 새로운 코드를 얻습니다. 이는 하드코딩된 API 키를 사용하여 쿼리를 Gemini API 엔드포인트로 전송함으로써 수행됩니다.

모델에 전송된 프롬프트는 매우 구체적이고 기계에서 구문 분석 가능하며, 바이러스 백신을 회피하기 위해 VB 스크립트 코드를 변경하도록 요청하고 모델에 코드 자체만 출력하도록 지시합니다.

재생성 기능은 차치하고라도, 이 맬웨어는 새로운 난독화된 버전을 Windows 시작 폴더에 저장하여 지속성을 확보하고 이동식 드라이브와 매핑된 네트워크 공유에 자체를 복사하여 확산을 시도합니다.

Google은 "자체 수정 기능(AttemptToUpdateSelf)은 주석 처리되어 있지만, 이 기능의 존재와 '%TEMP%\thinking_robot_log.txt'에 대한 AI의 활성 로깅을 종합해 보면 시간이 지남에 따라 진화할 수 있는 변형 스크립트를 만드는 것이 작성자의 목표임을 분명히 알 수 있습니다."라고 덧붙였습니다.



LLM한테 코딩 시키면서 이런 생각 해본 적 있는데 실제로 구현되었군요 ㄷㄷㄷㄷ

댓글 (4)

  • 파일런

    파일런 Lv.1

    25.11.07 · 218.♡.131.214

    구글은 수요일에.. 까지는 이해했습니다.
  • 단디1

    단디1 Lv.1

    25.11.07 · 119.♡.199.16

    드디어 스카이넷의 시작인가요?
    [https://s3.damoang.net/data/editor/2511/1ffed5f.jpg]
  • B

    bsls Lv.1

    25.11.07 · 106.♡.128.53

    이거완전 사펑
  • 조형

    조형 Lv.1

    25.11.07 · 175.♡.10.155

    어우.. 유비소프트 디비전 게임에 등장하는 그린 플루의 디지털 버전 같네요.

댓글을 작성하려면 이 필요합니다.