Se ha observado que el actor de amenazas TA547 apunta a organizaciones alemanas con el conocido ladrón Rhadamanthys. Según un informe reciente de Proofpoint, esta es la primera vez que este actor de amenazas se asocia con dicha actividad. Lo que es particularmente intrigante según los investigadores es el aparente empleo por parte del actor de un script de PowerShell probablemente generado por grandes modelos de lenguaje (LLM) como ChatGPT, Gemini o CoPilot. Haciéndose pasar por la conocida empresa minorista alemana Metro, TA547 envió correos electrónicos relacionados con facturas. Estos correos electrónicos, enviados a numerosas organizaciones de diferentes industrias en Alemania, contenían un archivo ZIP protegido con contraseña que albergaba un archivo LNK. Tras la ejecución, este archivo LNK activó PowerShell para iniciar un script remoto y, en última instancia, cargar y ejecutar el malware Rhadamanthys directamente en la memoria del sistema, evitando la necesidad de escribir en el disco. En particular, el script de PowerShell exhibió características poco comunes en un actor de amenaza típico o en un código de programador legítimo, lo que indica una posible participación de LLM. Dichos factores incluían comentarios gramaticalmente correctos e hiperespecíficos sobre cada componente del guión, un sello distintivo del contenido generado por LLM. Esta campaña muestra el cambio estratégico de TA547, incluida la adopción de LNK comprimidos y la introducción de Rhadamanthys. También subraya cómo los actores de amenazas aprovechan el contenido sospechoso generado por LLM en sus esfuerzos maliciosos. Lea más sobre las implicaciones del contenido generado por LLM en ciberseguridad: RSA eBook detalla cómo la IA transformará la ciberseguridad en 2024 Sin embargo, según Proofpoint, si bien los actores de amenazas pueden usar LLM para ayudar a comprender cadenas de ataques complejas y potencialmente mejorar sus campañas, esto no No alterar la funcionalidad o eficacia del malware. De hecho, la empresa cree que la mayoría de los mecanismos de detección basados ​​en el comportamiento siguen siendo eficaces independientemente del origen del software malicioso. “De la misma manera que los correos electrónicos de phishing generados por LLM para comprometer el correo electrónico empresarial (BEC) utilizan las mismas características del contenido generado por humanos y son detectados por detecciones automáticas, el malware o los scripts que incorporan código generado por máquina seguirán ejecutándose de la misma manera en una zona de pruebas (o en un host), lo que activa las mismas defensas automatizadas”, explicó la empresa.