LLM Destekli Kötü Amaçlı Yazılımlar: Cyber Security’deki Yeni Tehditler
Son dönemde siber güvenlik alanında yaşanan gelişmeler, kötü niyetli yazılımların kullanımında önemli bir dönüm noktasını işaret ediyor. Uzmanlar, Large Language Model (LLM) kapasiteleri entegre edilen yeni bir kötü amaçlı yazılım olan MalTerminal‘ı keşfetti. Bu yazılım, SentinelOne SentinelLABS araştırma ekibi tarafından tespit edildi ve LABScon 2025 güvenlik konferansında detaylı bir şekilde sunuldu.
MalTerminal: İlk LLM Destekli Kötü Amaçlı Yazılım
MalTerminal, kötü niyetli yazılımlar arasında yer almakta ve OpenAI GPT-4’ü kullanarak ransomware kodu veya reverse shell yaratabilen bir Windows executable olarak tanımlanıyor. Araştırmacılar, bu yazılımın daha önce sahada kullanıldığına dair bir kanıt bulunmadığını belirtiyor; bu da MalTerminal’ın ya bir proof-of-concept yazılımı ya da bir red team aracı olabileceğini düşündürüyor. Alex Delamotte, Vitaly Kamluk ve Gabriel Bernadett-shapiro, MalTerminal’ın LLM destekli yazılımların en erken örneği olduğunu ifade ediyor.
MalTerminal’ın içinde, kasıtlı olarak OpenAI chat completions API uç noktası yer alıyor; bu uç noktanın Kasım 2023’te kullanımdan kalkması, yazılımın o tarihten önce yazıldığını ortaya koyuyor. Ayrıca, MalTerminal ile birlikte bazı Python script’leri de mevcut; bu scriptler kullanıcılara “ransomware” veya “reverse shell” arasında seçim yapma imkanı tanıyor. Bunun yanında, FalconShield adında bir savunma aracı var; bu araç, hedef Python dosyasında kötücül desenleri kontrol edip GPT modeline bu dosyanın kötü amaçlı olup olmadığını sormaktadır.
Phishing Saldırıları ve LLM Kullanımı
Siber tehdit aktörlerinin phishing saldırılarını daha da sofistike hale getirdiği gözlemleniyor. StrongestLayer tarafından yayımlanan bir rapora göre, tehdit aktörleri, yapay zeka destekli güvenlik tarayıcılarını atlatmak için e-postalarda gizli komutlar kullanıyor. Söz konusu e-postalar, alıcıları bir HTML ekini açmaya ikna eden, basit bir fatura uyuşmazlığı olarak gösteriliyor.
Ancak bu e-postaların içindeki asıl tehdit, HTML kodunda gizli bir ikna yöntemi olması. display:none; color:white; font-size:1px; stil özellikleri kullanılarak gizlenen bu komut, kullanıcıları tuzağa düşürmek üzere tasarlanmış. Alıcı e-postayı açtığında, Follina adı verilen bir güvenlik açığını kullanarak bir saldırı zincirini tetikleyebiliyor.
Bu saldırıların arka planda, PowerShell script‘leri ile daha fazla kötü amaçlı yazılım indirilmesi, Microsoft Defender Antivirus’un devre dışı bırakılması ve hedef sistemde süreklilik sağlanması gibi son derece tehlikeli etkileri bulunuyor.
LLM Poisioning ile AI Analiz Araçlarının Aşılması
StrongestLayer, hem HTML hem de HTA dosyalarının, LLM Poisoning olarak bilinen bir teknik kullanarak, yapay zeka analiz araçlarını atlayabildiğini ortaya koymuş durumda. Bu durumda, siber suçluların yapay zeka ile mücadele edebileceği kadar stratejik düşünmeleri gerektiği anlamına geliyor. Yapay zeka destekli web barındırma platformları, kötü niyetli kişiler tarafından istismar edilebiliyor; bu da siber güvenlik alanında yeni bir tehdit türünü ortaya çıkarıyor.
Trend Micro’nun yayımladığı bir rapora göre, 2025 yılı itibarıyla, yapay zeka destekli site oluşturma araçlarının kullanımında bir artış gözlemleniyor. Bu araçlar, sahte CAPTCHA sayfaları oluşturup, phishing web sitelerine yönlendirme yapıyor. Kullanıcıların kimlik bilgileri bu sahte sayfalar aracılığıyla çalınıyor.
Siber Güvenlikte Yeni Zorluklar
LLM’lerin kötü amaçlı yazılımlara entegrasyonu, saldırganların tradecraft‘ında niteliksel bir değişikliği işaret ediyor. Kötü niyetli mantık ve komutların çalışma anında üretilmesi, siber güvenlik uzmanlarının karşılaştığı yeni zorlukları doğuruyor. AI destekli araçların kötü niyetli kullanımı, siber suçlulara geniş bir fırsatlar yelpazesi sunarken, savunma mekanizmalarının yeniden gözden geçirilmesi gerektiğini ortaya koyuyor.
Gelecekte, siber güvenlik uzmanlarının bu tür teknolojik gelişmelere karşı daha hazırlıklı olmaları ve sürekli olarak güncel kalmaları büyük önem taşıyor. Bu döngüyü kırmak, bir dereceye kadar teknolojiyle değil, teknolojiyi anlamakla mümkün olacak. Kötü niyetli aktörlere karşı mücadelede, her bireyin daha bilinçli ve dikkatli olması gerektiği unutulmamalı.
