Raporti i Anthropic zbulon se si AI-ja e saj po shfrytëzohet për ‘Vibe-Hacking’ dhe ransomware pa kod

Firma e inteligjencës artificiale Anthropic zbuloi sot se modelet e saj të përparuara të inteligjencës artificiale po përdoren në mënyrë aktive nga kriminelët kibernetikë për sulme të sofistikuara nga fillimi në fund. Në një raport të ri të inteligjencës së kërcënimeve, kompania detajon një trend shqetësues që e quan “hacking i vibracioneve”, ku një aktor i vetëm keqdashës përdor një agjent të inteligjencës artificiale si Claude si konsulent teknik dhe si operator aktiv.

Hulumtimi nxjerr në pah se si IA po e ul ndjeshëm pengesën ndaj krimit kibernetik. Ajo u mundëson aktorëve kërcënues me aftësi të kufizuara të ndërtojnë ransomware, të analizojnë të dhënat e vjedhura dhe madje të ndihmojnë operativët e Koresë së Veriut të sigurojnë në mënyrë mashtruese vende pune teknologjike me paga të larta për të financuar programe të sponsorizuara nga shteti. Kjo shënon një evolucion të rëndësishëm në përdorimin e IA-së për qëllime dashakeqe.

Raporti i Anthropic, i publikuar sot, konfirmon një ndryshim paradigme në krimin kibernetik. “Sistemet e inteligjencës artificiale agjentike po shndërrohen në armë.” Kjo e zhvendos kërcënimin përtej ndihmës së thjeshtë në ekzekutimin aktiv të sulmeve nga agjentët e inteligjencës artificiale.

Raporti prezanton termin “hacking i vibracioneve” si një metodologji që përfaqëson një evolucion shqetësues në krimin kibernetik të asistuar nga inteligjenca artificiale. Kjo qasje e sheh inteligjencën artificiale të shërbejë si konsulent teknik dhe si operator aktiv, duke mundësuar sulme që do të ishin shumë më të vështira për t’u ekzekutuar manualisht nga një individ. Kjo shënon një ndryshim themelor nga inteligjenca artificiale si një mjet i thjeshtë në inteligjencën artificiale si partner në operacion.

Anthropic detajon një operacion të sofistikuar kiberkriminal (i gjurmuar si GTG-2002) ku një aktor i vetëm përdori agjentin e tij Claude Code për të kryer një fushatë të shkallëzuar zhvatjeje të të dhënave. Brenda vetëm një muaji, operacioni kompromentoi të paktën 17 organizata të dallueshme në sektorë si kujdesi shëndetësor, shërbimet e emergjencës dhe qeveria.

Inteligjenca Artificiale nuk po ndiqte thjesht një skenar. Ndërsa aktori ofronte një skedar udhëzues me taktikat e preferuara, agjenti prapëseprapë përdorej për të marrë vendime taktike dhe strategjike. Ai përcaktonte se si të depërtonte më mirë në rrjete, cilat të dhëna të nxirrte dhe si të hartonte kërkesa për zhvatje të synuara psikologjikisht.

Operacioni demonstroi një integrim të paparë të inteligjencës artificiale në të gjithë ciklin jetësor të sulmit. Në fazën e zbulimit, agjenti automatizoi skanimin e mijëra pikave fundore të VPN-së për të identifikuar sistemet e cenueshme. Gjatë ndërhyrjes, ai ofroi ndihmë në kohë reale, duke identifikuar sisteme kritike si kontrolluesit e domenit dhe duke nxjerrë kredencialet.

Kodi Claude u përdor gjithashtu për zhvillimin e programeve të dëmshme me porosi. Ai krijoi versione të turbullta të mjeteve ekzistuese të tunelimit për të shmangur Windows Defender dhe madje zhvilloi një kod krejtësisht të ri proxy TCP nga e para. Kur përpjekjet fillestare të shmangies dështuan, inteligjenca artificiale sugjeroi teknika të reja si enkriptimi i vargjeve dhe maskimi i emrit të skedarëve për të maskuar ekzekutuesit e tij keqdashës.

Pas nxjerrjes së të dhënave të ndjeshme – duke përfshirë të dhënat financiare, kredencialet qeveritare dhe informacionin e kujdesit shëndetësor – roli i IA-së u zhvendos në monetizim. Ajo analizoi të dhënat e vjedhura për të krijuar strategji shumështresore zhvatjeje, duke gjeneruar “plane fitimi” të detajuara që përfshinin shantazh të drejtpërdrejtë organizativ, shitje të të dhënave te kriminelë të tjerë dhe presion të synuar mbi individët, të dhënat e të cilëve ishin kompromentuar.

Jacob Klein, Drejtuesi i Inteligjencës së Kërcënimeve në Anthropic, i tha The Verge se , “ky është përdorimi më i sofistikuar i agjentëve që kam parë… për sulme kibernetike.” Inteligjenca artificiale llogariti shumat optimale të shpërblimit bazuar në analizën e saj, me kërkesa që ndonjëherë tejkalonin 500,000 dollarë.

Kjo aftësi e re do të thotë që “…tani, një individ i vetëm mund të kryejë veprime, me ndihmën e sistemeve agjentike”. Kjo e ndryshon rrënjësisht peizazhin e kërcënimeve, duke e bërë më të vështirë vlerësimin e sofistikimit të një sulmuesi vetëm bazuar në kompleksitetin e operacionit të tij.

Një tjetër trend alarmues i theksuar në raportin Anthropic është rritja e “malware pa kod”, një transformim i mundësuar nga IA që heq barrierat tradicionale teknike ndaj krimit kibernetik. Raporti thotë, “IA ul barrierat ndaj krimit kibernetik të sofistikuar”. Ky nuk është një rrezik teorik; kompania identifikoi një aktor me bazë në Mbretërinë e Bashkuar (GTG-5004) i cili mishëron në mënyrë të përsosur këtë paradigmë të re.

Ky individ, aktiv në forumet e internetit të errët si Dread dhe CryptBB që të paktën nga janari i vitit 2025, demonstroi një “varësi në dukje të plotë nga inteligjenca artificiale për të zhvilluar malware funksional”. Aktori dukej i paaftë të zbatonte enkriptim kompleks ose të zgjidhte problemet teknike pa ndihmën e Claude, megjithatë po tregtonte dhe shiste me sukses ransomware të aftë.

Operacioni u strukturua si një biznes profesional i Ransomware-as-a-Service (RaaS) me një model komercial me shumë nivele. Një DLL bazë dhe një skedar ekzekutues për ransomware u ofruan për 400 dollarë, një komplet i plotë RaaS me një konsolë të sigurt PHP dhe mjete komandimi dhe kontrolli për 800 dollarë, dhe një kriptues plotësisht i pazbulueshëm (FUD) për skedarët binare të Windows për 1,200 dollarë.

Kjo demokratizon në mënyrë efektive krimin e avancuar kibernetik, duke i vënë mjete të fuqishme dhe të gatshme në duart e individëve më pak të kualifikuar. Aktori ruajti sigurinë operacionale duke shpërndarë përmes një faqeje interneti .onion dhe duke përdorur email të koduar, duke pretenduar në mënyrë mashtruese se produktet ishin “vetëm për përdorim edukativ dhe kërkimor”, ndërsa reklamonte në forume kriminale.

Pavarësisht mungesës së dukshme të ekspertizës së thellë nga operatori, programi keqdashës i gjeneruar nga inteligjenca artificiale ishte shumë i sofistikuar. Karakteristikat e tij kryesore përfshinin një kod rrjedhe ChaCha20 për enkriptimin e skedarëve, përdorimin e API-t CNG të Windows për menaxhimin e çelësave RSA dhe mekanizma kundër rikuperimit si fshirja e Kopjeve të Hijes së Volumit për të parandaluar rikuperimin e lehtë.

Për shmangien e sulmeve, programi keqdashës përdorte teknika të përparuara si RecycledGate dhe FreshyCalls. Këto metoda përdorin thirrje të drejtpërdrejtë të thirrjes së sistemit për të anashkaluar grepat API të modalitetit të përdoruesit që përdoren zakonisht nga zgjidhjet EDR. Kjo përfaqëson një transformim të rëndësishëm operacional ku kompetenca teknike i delegohet inteligjencës artificiale në vend që të fitohet përmes përvojës.

Ky incident është vetëm një shembull i një trendi më të gjerë në industri të përdorimit të inteligjencës artificiale si armatim. Siç e kanë detajuar raportet e mëparshme të Winbuzzer, ky ndryshim është i dukshëm në të gjithë peizazhin e kërcënimeve, nga sulmuesit që përdorën versionin 0 të Vercel për faqet e “phishing-ut të menjëhershëm” deri te evolucioni i mjeteve si WormGPT, të cilat tani rrëmbejnë modele legjitime si Grok dhe Mixtral.

Raporti zbulon gjithashtu një fushatë sistematike dhe të sofistikuar nga punonjësit e IT-së të Koresë së Veriut, të cilët po e shfrytëzojnë Claude për të siguruar dhe mbajtur në mënyrë mashtruese vende pune teknologjike me paga të larta në kompanitë Fortune 500. Sipas hetimit të Anthropic, këto operacione janë të dizajnuara për të shmangur sanksionet ndërkombëtare dhe për të gjeneruar qindra miliona dollarë çdo vit për të financuar programet e armëve të vendit.

Zbulimi më i habitshëm është “varësia e plotë e operativëve nga IA për të funksionuar në role teknike”. Këta individë duket se nuk janë në gjendje të shkruajnë kod bazë, të debugojnë probleme, apo edhe të komunikojnë profesionalisht pa ndihmën e vazhdueshme të IA-së. Kjo krijon një paradigmë të re ku kompetenca teknike nuk zotërohet, por simulohet plotësisht.

Operacioni mashtrues i punësimit ndjek një cikël jetësor shumëfazor, me ndihmë nga inteligjenca artificiale në çdo fazë. Në fazën fillestare të “Zhvillimit të Personalitetit”, operatorët përdorin Claude për të gjeneruar sfonde profesionale bindëse, për të krijuar portofole teknike me historitë e projekteve dhe për të hulumtuar referenca kulturore për t’u dukur autentike.

Gjatë procesit të “Aplikimit dhe Intervistës”, inteligjenca artificiale përdoret për të përshtatur CV-të sipas përshkrimeve specifike të punës, për të hartuar letra motivimi bindëse dhe për të ofruar ndihmë në kohë reale gjatë vlerësimeve teknike të kodimit. Kjo u lejon atyre të kalojnë me sukses intervistat për role për të cilat nuk janë të kualifikuar.

Pasi punësohen, varësia intensifikohet. Në fazën e “Mirëmbajtjes së Punësimit”, operativët mbështeten në IA-në për të kryer punë teknike aktuale, për të marrë pjesë në komunikimet e ekipit dhe për t’iu përgjigjur rishikimeve të kodit, duke ruajtur iluzionin e kompetencës. Të dhënat e Anthropic tregojnë se afërsisht 80% e përdorimit të Claude nga operativët është në përputhje me punësimin aktiv.

Kjo qasje e mundësuar nga IA anashkalon vështirësinë tradicionale të nevojës për vite të tëra trajnimi të specializuar në institucione elitare si Universiteti Kim Il Sung. Historikisht, kjo kufizonte numrin e operativëve që regjimi mund të vendoste. Tani, IA e ka hequr në mënyrë efektive këtë kufizim, duke u lejuar individëve me aftësi të kufizuara të sigurojnë dhe të mbajnë pozicione fitimprurëse inxhinierike.

Raporti vëren se “një operator i vetëm mund të arrijë ndikimin e një ekipi të tërë kriminalësh kibernetikë përmes ndihmës së IA-së”. Ky përdorim i IA-së si armë nuk po ndodh në një vakum. Microsoft ka paralajmëruar tashmë se “IA ka filluar të ulë standardet teknike për aktorët e mashtrimit dhe krimit kibernetik… duke e bërë më të lehtë dhe më të lirë gjenerimin e përmbajtjes së besueshme për sulmet kibernetike me një ritëm gjithnjë e më të shpejtë”.

Ky trend më i gjerë është i dukshëm në rritjen e fundit të sulmeve të phishing-ut të asistuara nga inteligjenca artificiale dhe fushatave të programeve keqdashëse që shfrytëzojnë mjetet e AI-së të konfiguruara gabimisht . Në përgjigje të gjetjeve të saj, Anthropic ka ndaluar llogaritë keqdashëse dhe ka përmirësuar mjetet e saj për korrelacionin e treguesve të njohur të kompromentimit. Kompania gjithashtu po ndan tregues teknikë me partnerët e industrisë për të ndihmuar në parandalimin e abuzimit në të gjithë ekosistemin.