Według Aqua Security, firmy zajmującej się bezpieczeństwem w chmurze i konteneryzacją, podczas tworzenia zaawansowanego złośliwego systemu na system Linux cyberprzestępcy w znacznym stopniu oparli się na sztucznej inteligencji.
Koske zostało zaprojektowane do wykorzystywania zainfekowanych systemów kopania kryptowalut. Wdraża koparki zoptymalizowane pod kątem procesora i karty graficznej (CPU) – w zależności od możliwości urządzenia – aby użyć zasobów hosta do kopania Monero, Ravecoin, Nexa, Tari, Zano i kilkunastu innych kryptowalut.
W atakach zaobserwowanych przez Aqua złośliwe oprogramowanie było dystrybuowane na nieprawidłowo skonfigurowanych instancjach internetowego środowiska programistycznego JupyterLab.
W zainfekowanych systemach atakujący instalują backdoory i pobierają dwa pozornie nieszkodliwe pliki JPEG. Pliki te są w rzeczywistości wielojęzyczne – po otwarciu wyświetlają obraz pandy, ale zawierają złośliwy kod powłoki, który pobiera dodatkowe ładunki, w tym rootkita.
Badacze Aqua twierdzą, iż rozwój Koske został znacząco wsparty przez sztuczną inteligencję. Ich zdaniem twórcy złośliwego systemu wykorzystali LLM do tworzenia modułowych ładunków, do projektowania różnych mechanizmów trwałości, które pozostawiają kilka śladów, oraz do zapewnienia, iż malware może automatycznie dostosowywać się do różnych warunków systemowych.
Jeśli chodzi o adaptowalność, złośliwe oprogramowanie używa trzech różnych metod sprawdzania dostępu do konta GitHub, z którego pobiera ładunki. jeżeli nie może się połączyć, resetuje ustawienia proxy, usuwa reguły zapory iptables w systemie operacyjnym i zmienia konfigurację DNS. Ponadto może dynamicznie wykrywać działające serwery proxy do komunikacji z serwerem C&C.
Aqua ustaliła, iż do napisania kodu Koske prawdopodobnie wykorzystano sztuczną inteligencję. Wskazują na to między innymi „rozwlekłe, dobrze ustrukturyzowane komentarze i modułowość” oraz zastosowanie „najlepszych praktykach w zakresie przepływu logiki i defensywnego programowania”. Kolejnym wartym uwagi aspektem jest to, iż kod pisany przez sztuczną inteligencję może wyglądać generycznie i utrudniać atrybucję oraz analizę.
Niemniej prawdziwe zagrożenia według specjalistów Aqua Security mogą być znacznie szersze: „Chociaż wykorzystanie sztucznej inteligencji do generowania lepszego kodu już teraz stanowi wyzwanie dla obrońców, to dopiero początek. Prawdziwym przełomem jest złośliwe oprogramowanie oparte na sztucznej inteligencji, czyli oprogramowanie dynamicznie współpracujące z modelami sztucznej inteligencji, które dostosowuje swoje zachowanie w czasie rzeczywistym. Tego rodzaju możliwości mogą oznaczać gwałtowny skok w taktyce atakujących, narażając niezliczone systemy na poważne ryzyko”.
