PROMPTFLUXマルウェアの登場
Google脅威インテリジェンスグループ(GTIG)のサイバーセキュリティ研究者たちは、脅威アクターが人工知能を悪用する方法に大きな変化があったことを確認しました。実験的なマルウェア「PROMPTFLUX」の発見は、サイバー脅威における画期的な出来事であり、攻撃者がAIを単なる生産性向上ツールとしてではなく、実行中に自身の挙動を動的に変更できるAI対応マルウェアとして展開していることを示しています。
これは脅威の状況における根本的なエスカレーションであり、セキュリティ専門家が「ジャストインタイム」マルウェアと呼ぶ、攻撃中に進化して検出システムを回避するマルウェアを導入しています。2025年6月初旬に特定されたPROMPTFLUXは、大規模言語モデルの能力を利用して自身のソースコードを積極的に書き換えるマルウェアとして、初めて確認された事例です。
VBScriptで書かれたこのドロッパーは、GoogleのGemini APIと直接連携し、特定の難読化および回避技術を要求することで、従来のセキュリティ防御にとって常に変化する標的を作り出します。マルウェアの最も斬新なコンポーネントは「Thinking Robot」モジュールと呼ばれ、ハードコードされたAPIキーを使用して定期的にGeminiにクエリを送信し、新しい回避コードを取得します。その後、難読化されたバージョンとしてシステムのスタートアップフォルダに保存し、再起動後も永続性を維持します。
PROMPTFLUXが特に懸念されるのは、そのアーキテクチャの洗練度です。このマルウェアは「gemini-1.5-flash-latest」モデルタグを使用しており、Geminiの最新の安定版と常に通信することを保証しています。この設計選択により、マルウェアはモデルの非推奨化に対して本質的に回復力があり、脅威アクターが長期的な運用可能性を慎重に検討した意図的な決定であることを示唆しています。Geminiに送信されるプロンプトは非常に具体的で機械解析可能であり、アンチウイルス回避に特化したVBScriptコードを要求し、言語モデルにはコード自体のみを出力するよう指示することで、不要な処理オーバーヘッドを最小限に抑えます。
AI悪用の新たな進化
Googleの研究によると、PROMPTFLUXは現在実験段階であり、被害者のネットワークを侵害する能力はまだ実証されていませんが、その存在は脅威アクターの能力における憂慮すべき進化を示唆しています。サイバーセキュリティにおけるAI悪用のこれまでの事例では、攻撃者は言語モデルを主に偵察、フィッシングコンテンツの生成、またはコーディング支援に利用していましたが、PROMPTFLUXは根本的に異なるものを表しています。
このマルウェアは真の自律性を体現しており、AIを補助ツールとしてではなく、攻撃インフラストラクチャの不可欠なコンポーネントとして活用しています。研究者たちは、異なる自己修正戦略を採用する複数のPROMPTFLUX亜種を特定しました。特に警戒すべきバージョンでは、「Thinking Robot」機能が「Thinging」機能に置き換えられており、Google Geminiにマルウェアのソースコードを1時間ごとに完全に再生成するよう指示することができます。
このアプローチは、ハードコードされたAPIキー、デコイペイロード、および自己再生成ロジックが変換全体にわたって持続することを保証することで、実行可能性を維持し、理論的には無期限に実行できる再帰的な変異サイクルを生み出します。
AI兵器化マルウェアのエコシステム
PROMPTFLUXは、GTIGが2025年に追跡を開始した、より広範なAI兵器化マルウェアのエコシステムの中で登場しました。以下に、その一部を示します。
- FRUITSHELL (リバースシェル): PowerShellで書かれた公開されているリバースシェルで、設定されたコマンド&コントロールサーバーへのリモート接続を確立し、脅威アクターが侵害されたシステム上で任意のコマンドを実行できるようにします。このコードファミリーには、LLMを利用したセキュリティシステムによる検出や分析を回避するためのハードコードされたプロンプトが含まれています。運用中に確認済み。
- PROMPTFLUX (ドロッパー): VBScriptで書かれたドロッパーで、埋め込まれたデコイインストーラーをデコードして実行し、その活動を隠蔽します。その主な機能は、Google Gemini APIを使用して自己再生成することです。LLMに自身のソースコードを書き換えさせ、新しい難読化されたバージョンをスタートアップフォルダに保存して永続性を確立します。PROMPTFLUXは、リムーバブルドライブやマップされたネットワーク共有に自身をコピーして拡散しようともします。実験段階。
- PROMPTLOCK (ランサムウェア): Goで書かれたクロスプラットフォームのランサムウェアで、概念実証として特定されています。LLMを利用して、悪意のあるLuaスクリプトを実行時に動的に生成および実行します。その機能には、WindowsとLinuxの両方のシステムでのファイルシステム偵察、データ流出、ファイル暗号化が含まれます。実験段階。
- PROMPTSTEAL (データマイナー): Pythonで書かれ、PyInstallerでパッケージ化されたデータマイナーです。Hugging Face APIを使用してLLM Qwen2.5-Coder-32B-Instructにクエリを送信し、1行のWindowsコマンドを生成するコンパイル済みスクリプトが含まれています。コマンドを生成するために使用されるプロンプトは、特定のフォルダ内のシステム情報とドキュメントを収集することを目的としていることを示しています。PROMPTSTEALはその後、コマンドを実行し、収集したデータを攻撃者が制御するサーバーに送信します。運用中に確認済み。
- QUIETVAULT (クレデンシャルスティラー): GitHubおよびNPMトークンを標的とするJavaScriptで書かれたクレデンシャルスティラーです。捕捉されたクレデンシャルは、公開アクセス可能なGitHubリポジトリの作成を介して流出されます。これらのトークンに加えて、QUIETVAULTはAIプロンプトとホストにインストールされたAI CLIツールを利用して、感染したシステム上の他の潜在的な秘密を検索し、これらのファイルをGitHubに流出させます。運用中に確認済み。
それぞれがAI統合への異なるアプローチを示していますが、すべてが機械学習を通じて運用効率を高めるという共通の目標を共有しています。
脅威アクターの適応と対策
PROMPTFLUXの出現は、国家支援型アクターやサイバー犯罪者がAI悪用においてますます高度化しているという広範な証拠と一致しています。アンダーグラウンドの広告では、多くのAIツールやサービスが、従来のツールと同様の技術的能力を脅威運用を支援するために宣伝していることが示されています。
中国関連の脅威アクターは、偵察からコマンド&コントロールの開発まで、攻撃ライフサイクル全体でGeminiを使用していることが確認されています。北朝鮮の脅威アクターは、ソーシャルエンジニアリングキャンペーンでディープフェイク画像やビデオコンテンツを展開しています。特にイラン政府支援のオペレーターは、キャプチャー・ザ・フラッグの競技者や大学生を装うなどのソーシャルエンジニアリングの口実を使用して、Geminiの安全ガードレールを回避し、制限された情報を取得するなど、目覚ましい適応性を示しています。
これらの改善には、分類器の強化と基盤となるモデル自体の変更の両方が含まれており、コード生成目的でのプラットフォームの兵器化を将来的に防ぐように設計されています。この発見は、AIの能力がよりアクセスしやすく強力になるにつれて、サイバーセキュリティ業界の防御態勢も同様に進化しなければならないという重要な現実を浮き彫りにしています。
PROMPTFLUXはまだ実験段階かもしれませんが、その存在は緊急の警告信号として機能します。大規模言語モデルとマルウェアの融合は、単なる脅威の漸進的な進歩ではなく、攻撃者が運用上の柔軟性と永続性を維持する方法における根本的な変革を意味します。