W tym wydaniu Krajobrazu Zagrożeń opisujemy, w jaki sposób generatywna AI wspiera przygotowanie kampanii malware z wykorzystaniem VBScript i WhatsApp, analizujemy nowe oblicze ataków na łańcuch dostaw w środowiskach SaaS na podstawie incydentu w Klue oraz przedstawiamy pierwszy udokumentowany przykład malware – Gaslight – zaprojektowanego z myślą o manipulowaniu modelami językowymi wykorzystywanymi przez analityków bezpieczeństwa. Choć każdy z tych przypadków dotyczy innego obszaru, wszystkie pokazują tę samą zmianę – cyberprzestępcy coraz skuteczniej wykorzystują nowe technologie do zwiększania skali, szybkości i efektywności prowadzonych operacji. Zamiast szukać przełomowych technik, coraz częściej rozwijają i łączą istniejące metody, dostosowując je do zmieniającego się środowiska technologicznego. 

Future

AI coraz bliżej cyberprzestępców — WhatsApp tylko początkiem historii

• AI coraz częściej wspiera tworzenie kampanii malware. Analizowana operacja pokazuje, że generatywna AI może służyć nie tylko do pisania kodu, ale również do budowy modułów, komentarzy oraz automatyzacji całego procesu przygotowania ataku.
• Znane techniki, nowe połączenie. Kampania wykorzystuje dobrze znane elementy – WhatsApp, VBScript, legalne narzędzia RMM oraz wieloetapowy loader – jednak ich integracja tworzy skuteczny i trudniejszy do wykrycia łańcuch infekcji.
• Poszlaki wskazują na chiński ekosystem malware. Powiązania infrastrukturalne z kampaniami wykorzystującymi ValleyRAT i Gh0st RAT oraz charakterystyczne chińskie komentarze w kodzie mogą świadczyć o wykorzystaniu narzędzi lub infrastruktury powiązanej z chińskimi operatorami.

Kampania opisana przez badaczy z Kaspersky pokazuje kolejny etap ewolucji cyberprzestępczości. Choć na pierwszy rzut oka mamy do czynienia z dobrze znanym scenariuszem – przejęte konta WhatsApp rozsyłają złośliwe pliki VBS prowadzące do instalacji oprogramowania RMM – analiza kodu sugeruje znacznie ciekawsze zjawisko.  Techniki wykorzystane w kampanii nie są nowe. Atakujący łączą kompromitację zaufanych kont komunikatora, socjotechnikę, wieloetapowy łańcuch infekcji, zaciemniony kod VBScript oraz legalne narzędzia do zdalnego zarządzania. To zestaw technik znanych od lat. Nowością jednak wydaje się sposób ich przygotowania. Zmienia się więc nie tyle arsenał atakujących, ile ekonomia prowadzenia operacji. 
 
Kod, który wygląda jak napisany przez AI 

Na uwagę zasługują bardzo rozbudowane komentarze znajdujące się w skryptach VBScript. Wiele z nich napisano w języku chińskim i opisują rzekome funkcje związane z Windows Update, weryfikacją certyfikatów, integralnością systemu czy procesami wdrożeniowymi. Komentarze nie mają praktycznego znaczenia dla działania malware, lecz sprawiają wrażenie wygenerowanych automatycznie i mają utrudniać analizę kodu.  Nie jest to oczywiście dowód na wykorzystanie modeli językowych, jednak taki sposób tworzenia kodu jest zgodny z obserwowanym sposobem wykorzystania generatywnej AI przez cyberprzestępców. 

Coraz częściej AI nie służy do stworzenia całego malware’u, lecz do: 

• automatycznego generowania fragmentów kodu,  

• przygotowywania komentarzy i dokumentacji utrudniających analizę,  

• budowy wielu wariantów tych samych modułów,  

• szybkiej adaptacji kampanii do nowych języków i regionów,  

• orkiestracji całego procesu infekcji.  

AI nie zastępuje operatora, lecz skraca czas potrzebny na przygotowanie kolejnych elementów kampanii, ułatwia ich modyfikację i pozwala operatorowi skupić się na logice całej operacji. 

AI jako orkiestrator, nie tylko programista 

Najciekawszy nie jest sam zestaw wykorzystanych technik, lecz sposób ich połączenia w spójny łańcuch infekcji. Łańcuch infekcji obejmuje: 

• wykorzystanie przejętych kont WhatsApp,  

• lokalizację nazw plików do wielu języków,  

• wieloetapowe pobieranie kolejnych komponentów,  

• instalację legalnego rozwiązania RMM,  

• uzyskanie trwałego zdalnego dostępu do systemu.  

Żaden z tych elementów nie jest nowy. Wartość i skuteczność kampanii wynikają z ich spójnego połączenia, które pokazuje coraz większą automatyzację przygotowania operacji. 

Powiązania z chińskim ekosystemem malware 

Autorzy analizy wskazują również na pokrywającą się infrastrukturę wykorzystywaną wcześniej przez operatorów malware ValleyRAT oraz Gh0st RAT. Szczególnie drugi z nich od lat kojarzony jest z chińskim ekosystemem zagrożeń. Dodatkową poszlaką są liczne komentarze zapisane po chińsku oraz wykorzystanie infrastruktury hostowanej między innymi w usługach chmurowych popularnych w regionie Azji i Pacyfiku. Choć żadna z tych przesłanek nie pozwala na jednoznaczną atrybucję, ich współwystępowanie wzmacnia hipotezę o powiązaniach kampanii z chińskim operatorami malware

Patrząc szerzej

Najciekawszym elementem tej kampanii nie jest WhatsApp ani VBScript, lecz sposób zbudowania całej operacji. Coraz więcej kampanii przypomina składanie gotowych komponentów, a generatywna AI staje się narzędziem wspierającym ich tworzenie, modyfikację i integrację. Pozwala szybko przygotować kolejne moduły, generować warianty kodu, tworzyć komentarze utrudniające analizę czy lokalizować kampanie na wiele języków.  Poszczególne komponenty tworzą modułową architekturę, w której poszczególne elementy można łatwo wymieniać i ponownie wykorzystywać. Takie podejście przypomina bardziej budowę oprogramowania niż klasyczne tworzenie malware. 

Być może właśnie obserwujemy zmianę podejścia do tworzenia kampanii malware. Jeszcze kilka lat temu modele językowe kojarzyły się głównie z pomocą przy pisaniu kodu. Dziś coraz częściej stają się elementem procesu projektowania całych kampanii. Nie zmienia to samych technik ataku, ale radykalnie skraca czas potrzebny do przygotowania kolejnych operacji. W efekcie przewagę będą zdobywać nie ci operatorzy, którzy opracują nowe techniki ataku, lecz ci, którzy najszybciej złożą znane techniki w kolejne skuteczne kampanie. 

Więcej informacji:
https://securelist.com/whatsapp-vbs-rmm-campaign/120290/

Łańcuch dostaw

Nie przez paczkę, lecz przez integrację. Klue i ryzyko łańcucha dostaw w SaaS

• Przypadek Klue pokazuje, że atak na łańcuch dostaw w modelu SaaS może przebiegać przez zaufane integracje i tokeny OAuth, bez potrzeby dostarczania złośliwego kodu do środowiska klienta.
• Dane przechowywane w CRM mają dużą wartość operacyjną. Mogą ułatwiać dalszy rekonesans, zwiększać wiarygodność podszyć i wspierać kolejne próby wyłudzeń lub phishingu.
• Zarządzanie bezpieczeństwem usług SaaS nie powinno kończyć się na kontach użytkowników. Równie istotne są przegląd integracji, ograniczanie zakresu uprawnień aplikacji i gotowość do szybkiego unieważniania tokenów po incydencie u dostawcy. 

Ataki na łańcuch dostaw w tym roku często kojarzą się z podmienioną biblioteką albo złośliwą aktualizacją. Tym razem skojarzenie z npm można odłożyć na bok. Punktem wejścia okazała się zaufana usługa SaaS, zintegrowana z systemami klientów i z uprawnieniami, które w normalnych warunkach miały po prostu usprawniać pracę. 

Incydent związany z Klue  miał miejsce 12 czerwca 2026 i przyciągnął uwagę ze względu na listę poszkodowanych organizacji, ale z perspektywy obrony ważniejszy jest sam mechanizm. Z opublikowanych informacji wynika, że naruszenie objęło warstwę integracyjną wykorzystywaną przez Klue do łączenia się z innymi platformami, a skutki objęły również klientów korzystających z tych połączeń. 

Według ustaleń opublikowanych przez poszkodowane firmy i podmioty analizujące incydent atakujący uzyskali dostęp do części systemów backendowych Klue, a następnie wykorzystali je do pozyskiwania tokenów OAuth używanych przez klientów do integracji z własnymi usługami. W praktyce oznaczało to możliwość sięgnięcia po dane w zewnętrznych systemach bez przejmowania kont konkretnych pracowników. To nadużycie skompromitowanej integracji Klue Battlecards do pobierania danych z Salesforce przez tokeny OAuth i zapytania do API. 

Wokół sprawy pojawiły się też rozbieżności dotyczące przypisania ataku. Początkowo incydent łączono z grupą ShinyHunters, ale dostępne przesłanki coraz wyraźniej wskazują na odrębnego aktora określanego jako Icarus, który wykorzystywał skradzione dane do działań wymuszeniowych. Na obecnym etapie ważniejszy od atrybucji pozostaje jednak sposób działania i skala ryzyka po stronie klientów korzystających z integracji. 

Właśnie dlatego ten przypadek jest ciekawszy niż tylko jako kolejny wyciek danych. W klasycznym skojarzeniu z supply chain główną rolę gra złośliwy kod dostarczony do środowiska ofiary. Tutaj problem pojawił się w relacji zaufania między klientem a usługą, która już wcześniej dostała dostęp do danych. Jeśli taka integracja działa na szerokich uprawnieniach, incydent po stronie dostawcy szybko staje się incydentem po stronie klienta. 

W przypadku Klue szczególnie istotne były połączenia z systemami CRM, przede wszystkim z Salesforce. To ważne, bo CRM bywa traktowany jako narzędzie sprzedażowe, a nie jako zasób o wysokiej wartości z perspektywy bezpieczeństwa. Tymczasem właśnie tam znajdują się dane kontaktowe, informacje o relacjach z klientami, notatki handlowe, szczegóły komunikacji i kontekst prowadzonych spraw. Huntress oraz Recorded Future wskazywały, że zakres narażonych informacji obejmował m.in. dane kontaktowe, informacje o klientach, szczegóły subskrypcji i elementy komunikacji sprzedażowej. 

Taki zestaw danych może być bardzo użyteczny operacyjnie. Pozwala odtworzyć, kto z kim rozmawia, jak wygląda język komunikacji, jakie sprawy są aktualnie prowadzone i kto odpowiada za relację po obu stronach. To wystarczająco dużo, by przygotować wiarygodne wiadomości podszywające się pod handlowca, opiekuna klienta albo partnera technologicznego. Powstaje ryzyko dalszego phishingu opartego na danych pozyskanych w tym incydencie. 

Z perspektywy obrony ten przypadek zostawia kilka praktycznych wniosków. Pierwszy dotyczy widoczności. Organizacje zwykle wiedzą, którzy użytkownicy mają dostęp do kluczowych systemów, ale nie zawsze potrafią szybko wskazać, które aplikacje trzecie mają taki dostęp, od kiedy i z jakim zakresem uprawnień. W środowisku SaaS to za mało. Integracje OAuth trzeba traktować jak element powierzchni ataku, czyli należy je inwentaryzować, monitorować i okresowo przeglądać. 

Drugi wniosek dotyczy zakresu uprawnień. Jeżeli integracja potrzebuje tylko części danych albo samego odczytu, nie powinna dostawać szerszego dostępu wyłącznie dla wygody wdrożenia. W Klue zakres możliwych do pobrania danych zależał bezpośrednio od konfiguracji uprawnień po stronie klienta. To pokazuje, że decyzje podejmowane na etapie wdrożenia mają bezpośredni wpływ na późniejszą skalę incydentu. 

Trzeci wniosek dotyczy reakcji na incydent u dostawcy. W takim scenariuszu trzeba być gotowym nie tylko do zmiany haseł czy przeglądu kont użytkowników, ale również do unieważniania tokenów, weryfikacji aktywnych integracji i analizy logów z powiązanych usług. 

Patrząc szerzej

Incydent Klue dobrze pokazuje, że jedna usługa z dostępem do wielu środowisk klientów może otworzyć drogę do serii wtórnych incydentów, nawet jeśli po stronie samych klientów nie doszło do przełamania zabezpieczeń w tradycyjnym rozumieniu. To model, który dobrze pasuje do środowisk opartych na integracjach, API i rozproszonych procesach biznesowych. 

Druga rzecz dotyczy samych danych biznesowych. CRM, narzędzia sprzedażowe i platformy wspierające relacje z klientami nadal bywają oceniane niżej niż systemy tożsamości czy repozytoria kodu. Tymczasem ich zawartość może być bardzo użyteczna na kolejnych etapach operacji przestępczej. Dlatego przegląd w środowisku SaaS aplikacji trzecich, ich uprawnień i cyklu życia dostępu powinno być elementem podstawowej higieny bezpieczeństwa. 

Więcej informacji:  
https://klue.com/blog/an-update-on-recent-klue-security-incident 
https://www.huntress.com/blog/klue-breach-investigation

Malware

AI wspierająca analityków staje się nowym celem ataków

• Opisano nowy backdoor dla macOS – Gaslight, przypisywany z dużym prawdopodobieństwem grupie powiązanej z Koreą Północną. Malware napisano w języku Rust i wykorzystuje Telegram jako kanał komunikacji C2.
• Najbardziej unikalnym elementem kampanii jest zastosowanie prompt injection jako techniki anti-analysis. Zamiast omijać sandboxy, malware próbuje manipulować modelami LLM wspierającymi analizę próbek.
• Kampania pokazuje nowy kierunek rozwoju zagrożeń – wraz z popularyzacją AI w procesach Reverse Engineering i Incident Response modele językowe stają się kolejnym celem ataków, a nie tylko narzędziem obrony.

Badacze SentinelOne opisali nową rodzinę malware dla macOS o nazwie Gaslight, przypisywaną z dużym prawdopodobieństwem aktorom powiązanym z Koreą Północną. Najciekawszym elementem opisanej kampanii jest jednak coś zupełnie innego. Po raz pierwszy opisano malware zaprojektowany tak, aby manipulować narzędziami AI wykorzystywanymi przez analityków bezpieczeństwa. 

Najbardziej innowacyjnym elementem Gaslight jest zastosowanie techniki prompt injection jako mechanizmu utrudniającego analizę próbki. W kodzie malware umieszczono dziesiątki spreparowanych komunikatów przypominających błędy systemowe lub informacje diagnostyczne, takie jak wygaśnięcie tokena, uszkodzenie środowiska analitycznego czy konieczność przerwania analizy. Komunikaty te nie są wykorzystywane przez sam malware ani system operacyjny – ich jedynym odbiorcą mają być modele językowe analizujące kod lub artefakty podczas procesu Reverse Engineering. Celem nie jest więc oszukanie sandboxa czy debuggera, ale wpłynięcie na interpretację próbki przez AI wspierającą analityka. 

Przez lata twórcy malware rozwijali mechanizmy wykrywające środowiska wirtualne, debugery czy emulatory. Gaslight pokazuje, że wraz z upowszechnieniem modeli LLM w procesach SOC, CTI i Reverse Engineering pojawia się nowa powierzchnia ataku – proces analityczny wspomagany sztuczną inteligencją. Modele językowe stają się kolejnym elementem infrastruktury obronnej, który napastnicy próbują omijać i świadomie wprowadzać w błąd. 

Opisana kampania wpisuje się również w wyraźny trend obserwowany w ostatnich dwóch–trzech latach – dynamiczny wzrost liczby zaawansowanych zagrożeń wymierzonych w użytkowników macOS. Jeszcze kilka lat temu ekosystem Apple był traktowany przez cyberprzestępców głównie jako cel niszowy, wykorzystywany przede wszystkim w operacjach szpiegowskich prowadzonych przez grupy APT. Obecnie sytuacja uległa istotnej zmianie. Wraz ze wzrostem udziału komputerów Mac w środowiskach korporacyjnych oraz ich popularnością wśród administratorów, programistów i kadry zarządzającej, platforma stała się atrakcyjnym celem również dla cyberprzestępczości finansowej. Coraz częściej obserwowane są kampanie prowadzone na dużą skalę, wykorzystujące model Malware-as-a-Service (MaaS), fałszywe instalatory popularnych aplikacji, malvertising, SEO poisoning oraz techniki ClickFix zachęcające użytkowników do samodzielnego uruchamiania złośliwych poleceń w Terminalu.  

Szczególnie widoczny jest rozwój rodzin Atomic macOS Stealer (AMOS), Poseidon, Cthulhu oraz Banshee, które wyspecjalizowały się w kradzieży danych z przeglądarek, pęku kluczy Keychain, portfeli kryptowalut, menedżerów haseł oraz dokumentów użytkownika. Część z nich jest rozwijana komercyjnie i oferowana w modelu abonamentowym na forach przestępczych, co świadczy o dojrzewaniu podziemnego ekosystemu malware dla macOS. Badacze zwracają uwagę, że infostealery stały się obecnie najliczniejszą kategorią nowego malware dla tej platformy, a w telemetrii producentów bezpieczeństwa liczba wykrywanych kampanii wzrosła w 2024 roku nawet o ponad 100% kwartał do kwartału.  

Równolegle obserwowany jest wzrost liczby bardziej zaawansowanych implantów wykorzystywanych przez grupy APT. W ostatnich latach opisywano m.in. RustDoor, SpectralBlur, XCSSET, CloudMensis, ZuRu czy obecnie Gaslight, pokazując, że twórcy zaawansowanego malware coraz częściej przygotowują pełnoprawne wersje swoich narzędzi dla macOS, a nie jedynie portują istniejące rozwiązania z Windows. W efekcie macOS przestaje być postrzegany jako platforma o ograniczonym znaczeniu operacyjnym i staje się równorzędnym celem zarówno dla kampanii cyberszpiegowskich, jak i operacji motywowanych finansowo. 

Opisany tu przypadek należy postrzegać nie tylko jako analizę kolejnej rodziny malware, lecz przede wszystkim jako zapowiedź nowego kierunku rozwoju zagrożeń. Wraz z rosnącym wykorzystaniem sztucznej inteligencji do analizy incydentów, klasyfikacji zagrożeń i wspomagania Reverse Engineering można oczekiwać, że techniki LLM-targeted prompt injection staną się standardowym elementem przyszłych kampanii. 

Patrząc szerzej

Gaslight przypomina, że każda nowa technologia wykorzystywana przez obrońców prędzej czy później staje się celem ataków. AI nie jest wyjątkiem. Wraz z rosnącym wykorzystaniem modeli językowych w procesach SOC, CTI, Reverse Engineering i Incident Response należy zakładać, że techniki manipulujące ich działaniem staną się naturalnym elementem arsenału cyberprzestępców i grup APT. 

Dlatego organizacje wdrażające AI do procesów bezpieczeństwa powinny już dziś projektować rozwiązania zgodnie z zasadą “zero trust” wobec analizowanych danych. Modele językowe powinny wspierać pracę analityka, przyspieszać analizę i automatyzować rutynowe zadania, ale nie mogą stanowić jedynego źródła decyzji. Odporność na prompt injection, walidacja wyników oraz nadzór eksperta staną się równie istotne, jak odporność na klasyczne techniki omijania zabezpieczeń. To właśnie w tym kierunku będzie ewoluował krajobraz zagrożeń w erze AI. 

Więcej informacji:
https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/