Google เผยโฉมมัลแวร์ AI พันธุ์ใหม่ “คิดเอง-ปรับโค้ดเอง” กลางสนามรบไซเบอร์!
Google Threat Intelligence Group (GTIG) ออกรายงานฉบับล่าสุดที่ชี้ให้เห็นถึงการเปลี่ยนแปลงครั้งสำคัญในสนามรบไซเบอร์ โดยระบุว่าเหล่าแฮกเกอร์ไม่ได้ใช้ปัญญาประดิษฐ์ (AI) เพียงเพื่อเพิ่มประสิทธิภาพการทำงานอีกต่อไป แต่ได้เริ่มนำ มัลแวร์ที่ฝังความสามารถของ AI มาใช้ในการโจมตีจริงแล้ว ซึ่งนับเป็นเฟสใหม่ของสงครามไซเบอร์ที่เครื่องมือสามารถปรับเปลี่ยนตัวเองได้แบบไดนามิกระหว่างการโจมตี
ครั้งแรกของมัลแวร์ AI ที่ปรับเปลี่ยนตัวเองแบบ “เรียลไทม์”
GTIG ได้ค้นพบมัลแวร์ตระกูลใหม่เป็นครั้งแรก ที่ใช้โมเดลภาษาขนาดใหญ่ (LLMs) ในระหว่างการทำงานเพื่อสร้างสคริปต์ที่เป็นอันตรายและหลบเลี่ยงการตรวจจับแบบเรียลไทม์
- PROMPTFLUX: มัลแวร์ประเภท Dropper ที่เขียนด้วย VBScript สามารถส่งคำสั่งไปยัง API ของ Gemini เพื่อขอโค้ดใหม่ๆ ที่ซับซ้อนและเข้ารหัสตัวเอง เพื่อหลบเลี่ยงโปรแกรมแอนติไวรัสแบบ “just-in-time” หรือทันทีที่ต้องการ
- PROMPTSTEAL: มัลแวร์ขโมยข้อมูลที่ถูกใช้งานโดยกลุ่มแฮกเกอร์ APT28 ที่รัสเซียสนับสนุนในการโจมตียูเครน มัลแวร์ตัวนี้จะปลอมเป็นโปรแกรมสร้างภาพ และใช้ LLM (Qwen2.5-Coder-32B-Instruct) เพื่อสร้างคำสั่งสำหรับรวบรวมข้อมูลในเครื่องและขโมยไฟล์เอกสารต่างๆ โดยไม่ต้องมีโค้ดคำสั่งฝังตายตัวมาในมัลแวร์
ใช้ “Social Engineering” ร่วมกับ AI เพื่อเจาะการป้องกัน
อีกหนึ่งเทคนิคที่น่าสนใจคือการที่แฮกเกอร์ใช้กลยุทธ์ที่คล้ายกับ “วิศวกรรมสังคม” (Social Engineering) กับตัว AI เอง โดยพบกรณีที่แฮกเกอร์ชาวจีนแสร้งทำเป็นผู้เข้าร่วมการแข่งขันความปลอดภัยไซเบอร์ “Capture-the-Flag” (CTF) เพื่อหลอกล่อให้ Gemini ยอมให้ข้อมูลเกี่ยวกับช่องโหว่ที่ปกติแล้วจะถูกปิดกั้น เช่นเดียวกันกับกลุ่มแฮกเกอร์ชาวอิหร่านที่อ้างตัวเป็นนักศึกษาที่กำลังทำโปรเจกต์จบ เพื่อขอความช่วยเหลือในการพัฒนาโค้ดมัลแวร์
ตลาดมืด AI คึกคัก และการใช้งานโดยรัฐ
รายงานยังชี้ว่าตลาดใต้ดินสำหรับเครื่องมือ AI ที่สร้างขึ้นเพื่อการโจมตีโดยเฉพาะนั้นเติบโตขึ้นอย่างมากในปี 2025 เครื่องมือเหล่านี้ช่วยลดข้อจำกัดทางเทคนิค ทำให้แฮกเกอร์มือใหม่สามารถทำการโจมตีที่ซับซ้อนได้ง่ายขึ้น ตั้งแต่การทำฟิชชิ่ง, พัฒนามัลแวร์ ไปจนถึงการวิจัยหาช่องโหว่ ในขณะเดียวกัน กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลของเกาหลีเหนือ, อิหร่าน และจีน ยังคงใช้ AI อย่าง Gemini ในทุกขั้นตอนของการโจมตี ตั้งแต่การหาข้อมูล, สร้างเนื้อหาฟิชชิ่ง, ไปจนถึงการพัฒนาเซิร์ฟเวอร์ควบคุม (C2)
เพื่อรับมือกับสถานการณ์ดังกล่าว Google ได้ดำเนินการปิดบัญชีและโปรเจกต์ที่เกี่ยวข้องกับผู้ไม่หวังดี พร้อมทั้งปรับปรุงโมเดล AI ให้แข็งแกร่งและทนทานต่อการถูกนำไปใช้ในทางที่ผิดอย่างต่อเนื่อง