(퍼플렉시티가정리한기사)구글의위협인텔리전스그룹은수요일,인공지능을이용하여실제사이버공격중에동적으로코드를변경하는악성코드패밀리가처음으로확인되었다고발표하면서연구진이이를"보다자율적이고적응력이뛰어난악성코드로의중요한진전"이라고평가했다.PROMPTFLUX와PROMPTSTEAL을포함한여러AI기반악성코드패밀리의발견은실험적위협에서국가지원그룹과사이버범죄자들이실제운영단계에서AI를활용한공격으로전환되는극적인변화를나타낸다.구글의최신위협인텔리전스보고서에따르면,이번발전은공격자들이"더이상단순히인공지능을생산성을높이기위한용도로만활용하는것이아니라,실제활동중에새로운AI기반악성코드를배포하고있음"을의미한다.AI악성코드가실시간으로코드를재작성합니다2025년6월에발견된PROMPTFLUX는이새로운위협범주에서가장우려스러운발전을나타냅니다.이실험적인VBScript드로퍼는Google의GeminiAPI를사용하여자체소스코드를지속적으로재작성하며,연구자들은이를"적시(just-in-time)"악성코드수정이라고설명합니다.이악성코드는"ThinkingRobot"모듈을포함하고있으며,이모듈은Gemini에게질의하여매시간새롭게난독화된버전을생성함으로써전통적인시그니처기반탐지를잠재적으로무용지물로만들수있습니다."PROMPTFLUX의가장새로운구성요소는안티바이러스소프트웨어를회피하기위한새로운코드를얻기위해주기적으로Gemini에게질의하도록설계된'ThinkingRobot'모듈입니다"라고Google의연구자들은설명했습니다.이악성코드는안티바이러스회피를위해특별히설계된VBScript코드변경을요청하는구조화된프롬프트를Gemini에게전송한후,재작성된버전을지속성을위해Windows의시작프로그램폴더에저장합니다.러시아군부대가AI기반데이터절취작전전개글로벌안보측면에서더욱우려되는점은,구글이러시아정부지원해킹그룹APT28(일명FancyBear)이우크라이나를대상으로한실제작전에서PROMPTSTEAL악성코드를배포하고있음을확인했다는점이다.PROMPTFLUX가실험적단계에머물러있는것과달리,PROMPTSTEAL은"실제작전에서LLM을쿼리하는악성코드가처음으로관찰된사례"로,사이버전쟁의새로운국면을의미한다.PROMPTSTEAL은이미지생성도구처럼위장하여,실제로는HuggingFace의API를통해Qwen2.5-Coder-32B-Instruct언어모델에쿼리를보내윈도우명령어를생성,문서와시스템정보를탈취한다.우크라이나당국은7월에이AI악성코드의존재를처음확인했으며,이를러시아의군사방위분야를겨냥한대규모사이버작전과연관지었다.국가지원그룹,공격생명주기전반에걸쳐AI악용Google의조사에따르면중국,이란,북한의국가지원그룹들이AI도구를작전전반에걸쳐체계적으로악용하고있는것으로드러났습니다.중국과연계된행위자들은사이버보안학생으로위장하여"캡처더플래그"경진대회에참가하는것처럼행세하며Gemini를속여제한된취약점공격지침을제공받았고,이란해커들은대학연구원이라고주장하며안전가드레일을우회했습니다.지하사이버범죄시장또한빠르게성숙해졌으며,연구자들은피싱,딥페이크생성,자동화된멀웨어개발을위해영어및러시아어포럼에광고된수십개의AI기반도구를발견했습니다.이러한제공물들은합법적인AI마케팅을반영하여"워크플로우효율성"을강조하면서기술력이부족한공격자들의기술적장벽을낮추고있습니다.Google은이러한악의적활동과관련된계정및자산을비활성화하고악용에대한Gemini의보호장치를강화했습니다.그러나회사는위협행위자들이"AI를예외적으로사용하는것에서일상적으로사용하는것으로"이동함에따라AI통합공격추세가가속화될가능성이높다고경고합니다.
