Malware AI devine în 2025 un vector de atac din ce în ce mai sofisticat, iar un raport recent al Google Threat Intelligence Group (GTIG) arată că grupurile de hackeri folosesc inteligență artificială pentru a crea programe capabile să se modifice în timp real și să evite detectarea. Tendința alarmantă se bazează pe integrarea modelelor lingvistice mari, precum Gemini, direct în procesul de execuție al malware‑ului. Acest scenariu semnalizează un nou nivel de adaptabilitate pentru amenințările cibernetice.

Just‑in‑time self‑modification: o nouă tehnică de malware AI
Tehnica denumită „just-in-time self-modification” permite codului să se rescrie în timpul rulării, fără intervenție externă. Prin intermediul inteligență artificială, malware‑ul primește instrucțiuni noi la fiecare cerere către modelul Gemini, reducând șansele de a fi identificat de soluțiile antivirus. Această capacitate de auto‑ofuscare transformă paradigma defensivei tradiționale.

Exemple de malware AI: PromptFlux, PromptSteal și QuietVault
PromptFlux, un program experimental scris în VBScript, conține un modul numit „Thinking Robot” care solicită periodic lui Gemini metode noi de evitare a detecției. PromptSteal (cunoscut și ca LameHug) se specializează în extragerea de date în zone de conflict, iar QuietVault vizează tokenuri GitHub și NPM prin exfiltrare dinamică. Toate aceste familii de malware AI integrează modelul lingvistic mare pentru a genera variante de cod în timp real.

Abuzul modelelor AI de către actori statali și grupuri de hackeri
GTIG a identificat cazuri în care actori cu sprijin guvernamental exploatează inteligență artificială pentru phishing multilingv, generarea de e‑mailuri de înșelăciune și dezvoltarea de payload‑uri adaptive. Grupuri precum MuddyCoast (UNC3313) din Iran și APT41 din China au folosit Gemini pentru a depana și îmbunătăți codul de comandă și control, demonstrând că accesul la modele AI poate fi transformat în avantaj strategic. În fiecare caz, Google Threat Intelligence Group a blocat conturile implicate și a consolidat protecțiile modelului.

Piața subterană a criminalității cibernetice bazate pe AI
Pe forumurile underground, vânzătorii oferă servicii AI destinate hackerilor, inclusiv:

– Generatoare de deepfake și instrumente de phishing automatizat.
– Frameworkuri pentru dezvoltarea de malware AI cu acces API și integrare Discord.
– Servicii de analiză de vulnerabilități și recunoaștere cibernetică bazate pe modele lingvistice mari.

Aceste oferte scad semnificativ bariera tehnică, permițând chiar utilizatorilor fără experiență avansată să lanseze atacuri sofisticate. Google subliniază că evoluția rapidă a instrumentelor AI rău intenționate impune măsuri proactive de securitate.

Dezvoltarea și utilizarea inteligență artificială în scopuri malițioase evoluează rapid, iar raportul Google Threat Intelligence Group confirmă că malware AI cu auto‑modificare just‑in‑time reprezintă o amenințare concretă. Monitorizarea continuă a acestor tendințe și adoptarea de soluții de apărare adaptative rămân esențiale pentru protecția mediului digital.