Selon Truesec, des chercheurs ont mis au jour une campagne d’« cyber espionnage » menée par un groupe chinois exploitant ChatGPT et d’autres outils d’IA pour mener des opérations de spear phishing à grande échelle et distribuer le malware RAT GOVERSHELL.
La campagne commence par des e-mails de spear phishing rédigés par IA, usurpant des communications légitimes. La charge malveillante est livrée via des archives ZIP contenant des exécutables en apparence bénins qui réalisent un DLL-sideloading afin de charger des bibliothèques malicieuses et déployer le GOVERSHELL RAT 🐀.
Les contenus générés par IA présentent des signes repérables, notamment des organisations inexistantes, des coordonnées factices et des fichiers superflus ajoutés aux paquets. Les comptes des acteurs chez OpenAI ont été désactivés, bien que l’ouverture de nouveaux comptes reste possible. L’usage des LLM ne rehausse pas nécessairement la qualité des attaques, mais accroît fortement le volume, réduit les coûts et facilite la génération multilingue ainsi que l’itération rapide du malware 🧠.
TTPs observés (extraits) :
- 🐟 Spear phishing avec usurpation de correspondances légitimes
- 📦 Distribution via archives ZIP
- 🧪 DLL-sideloading à partir d’exécutables trojanisés
- 🧠 Génération de contenus multilingues et itération rapide du code via LLM
- 🧰 Déploiement du RAT GOVERSHELL
IOCs : Non mentionnés dans l’extrait.
Il s’agit d’une analyse de menace publiée par Truesec visant à documenter l’abus d’LLM par un groupe d’espionnage chinois et les techniques de distribution de GOVERSHELL.
🧠 TTPs et IOCs détectés
TTPs
[‘Spear phishing avec usurpation de correspondances légitimes’, ‘Distribution via archives ZIP’, ‘DLL-sideloading à partir d’exécutables trojanisés’, ‘Génération de contenus multilingues et itération rapide du code via LLM’, ‘Déploiement du RAT GOVERSHELL’]
IOCs
Non mentionnés dans l’extrait.
🔗 Source originale : https://www.truesec.com/hub/blog/chinese-cyber-espionage-group-leverage-chatgpt