PANewsは11月7日、Google Threat Intelligence Group（GTIG）の最新レポートによると、北朝鮮のハッカー集団UNC1069がAIモデル（Geminiなど）を用いて、暗号通貨ウォレットや取引所の従業員を標的としたマルウェアを開発・展開していると報じました。このレポートによると、このマルウェアは大規模言語モデル（LLM）を用いて実行時に悪意のあるコードを動的に生成または隠蔽し、「オンザフライコード生成」技術を用いて検出を回避し、攻撃能力を強化しています。

中でも、PROMPTSTEALやPROMPTSTEALなどのマルウェアファミリーは、AIをオペレーションに直接統合する傾向を示しています。例えば、PROMPTSTEALはGemini APIを1時間ごとに呼び出してコードを書き換え、PROMPTSTEALはQwenモデルを用いてWindowsコマンドを生成します。

UNC1069の活動には、ウォレットアプリケーションデータの標的化、暗号化ストレージへのアクセス、デジタル資産の窃取を目的とした多言語フィッシングスクリプトの生成などが含まれていました。Googleは、関連アカウントを無効化し、プロンプトフィルタの最適化やAPI監視の強化など、モデルアクセスに関するセキュリティ対策を強化したと発表しました。

この報告書は、特に暗号通貨分野で脅威が高まっていることを踏まえ、AIがサイバー攻撃に悪用される潜在的なリスクについて警告している。