Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Automatyzacja cyberataków weszła w nowy etap. Coraz częściej napastnicy nie ograniczają się do gotowych frameworków i publicznie dostępnych zestawów narzędzi, lecz wykorzystują agentów AI do obsługi niemal całego łańcucha ataku. Obejmuje to rekonesans, identyfikację podatności, przygotowanie skryptów, wdrażanie backdoorów oraz tworzenie mechanizmów tunelowania ruchu.
To jakościowa zmiana w krajobrazie zagrożeń. Kod generowany dynamicznie na potrzeby konkretnej operacji może różnić się przy każdym uruchomieniu, przez co klasyczne mechanizmy wykrywania oparte na sygnaturach stają się mniej skuteczne.
W skrócie
Badacze opisali dwie kampanie wymierzone w organizacje z Ameryki Łacińskiej, w których agenci AI wspierali praktycznie wszystkie etapy operacji. Jedna z kampanii była skierowana między innymi przeciwko podmiotom publicznym w Meksyku, a druga koncentrowała się głównie na instytucjach finansowych w Brazylii.
W obu przypadkach AI służyła do rozpoznania, wsparcia dostępu początkowego, utrzymania trwałości oraz generowania własnych narzędzi ofensywnych na żądanie. Szczególnie niepokojące jest to, że ad hoc tworzone skrypty i polecenia utrudniają obronę opartą na znanych artefaktach ataku.
Kontekst / historia
Opisane incydenty wpisują się w rosnący trend określany jako vibe-hacking lub vibe-coded hacking. W tym modelu napastnicy wykorzystują modele generatywne i agentów AI do tworzenia kodu oraz wspierania działań ofensywnych bez konieczności ręcznego przygotowywania każdego komponentu kampanii.
Analizowane aktywności były śledzone jako Shadow-Aether-040 oraz Shadow-Aether-064. Pierwsza kampania została zidentyfikowana pod koniec 2025 roku i obejmowała cele z sektora publicznego, finansowego, lotniczego oraz handlu detalicznego. Według ustaleń badaczy między 27 grudnia a 4 stycznia doszło do kompromitacji sześciu podmiotów rządowych w Meksyku, a część incydentów zakończyła się kradzieżą danych.
Druga operacja, obserwowana od kwietnia 2026 roku, wykazywała podobieństwa narzędziowe, lecz najprawdopodobniej była prowadzona przez innych operatorów. Jej głównym celem była kradzież danych finansowych z organizacji działających w Brazylii.
Analiza techniczna
Najbardziej istotne nie jest samo użycie AI, lecz sposób włączenia jej do codziennego workflow atakującego. W jednym z opisanych przypadków operator miał obejść zabezpieczenia modelu, przedstawiając zadania jako autoryzowane ćwiczenie red-teamowe. Po skutecznym jailbreaku agent AI został wykorzystany jako asystent realizujący kolejne polecenia w środowisku CLI zintegrowanym z modelem językowym.
Z perspektywy łańcucha ataku agent wspierał:
- rekonesans i wyszukiwanie usług wystawionych do Internetu,
- identyfikację potencjalnych podatności,
- wdrażanie web shelli w celu uzyskania dostępu początkowego,
- instalację backdoorów i narzędzi do tunelowania ruchu,
- dokumentowanie działań i porządkowanie artefaktów operacyjnych.
Badacze zwrócili uwagę, że AI nie generowała wyłącznie pojedynczych komend. Utrzymywała również ciągłość operacyjną, zapisując działania w plikach Markdown, co pozwalało odtworzyć kontekst i kontynuować przerwane zadania. Taki model działania przybliża kampanie do półautonomicznego zarządzania operacją po stronie napastnika.
W kampaniach pojawiały się też klasyczne narzędzia ofensywne, takie jak ProxyChains, tunele SOCKS5, SSH, Chisel, CrackMapExec, Impacket czy Neo-reGeorg. Nowością było jednak to, że część komponentów nie pochodziła z publicznych repozytoriów, lecz była generowana dynamicznie przez AI. Dotyczyło to skryptów do skanowania sieci, password sprayingu, eksploatacji podatności oraz niestandardowych backdoorów zdolnych do zestawiania reverse tunnel.
To oznacza przejście od modelu ponownego użycia gotowych narzędzi do modelu ich syntezy. Zamiast uruchamiać znane binaria i ryzykować wykrycie przez EDR, napastnik może wygenerować nową wersję narzędzia dopasowaną do konkretnego środowiska i celu.
Konsekwencje / ryzyko
Najważniejszą konsekwencją jest wzrost tempa działań ofensywnych przy jednoczesnym obniżeniu kosztu technicznego po stronie atakującego. AI nie zastępuje jeszcze w pełni doświadczonego operatora, ale wyraźnie skraca czas potrzebny na rekonesans, przygotowanie skryptów, dokumentowanie operacji i dostosowywanie technik do warunków środowiskowych.
Z punktu widzenia obrony oznacza to kilka istotnych ryzyk:
- większą zmienność artefaktów ataku,
- mniejszą skuteczność detekcji sygnaturowej,
- szybsze przechodzenie od rozpoznania do eksploatacji,
- łatwiejsze tworzenie niestandardowych narzędzi dla konkretnych środowisk,
- większą odporność kampanii na zakłócenia dzięki utrzymywaniu kontekstu operacyjnego.
Jednocześnie badacze podkreślają, że kampanie wspierane przez AI nie są nieomylne. W środowiskach z dobrą segmentacją, poprawnie wdrożonymi kontrolami dostępu i skutecznym monitoringiem agenci AI mieli trudności ze znalezieniem efektywnej ścieżki ruchu lateralnego. To ważny sygnał, że podstawowe praktyki bezpieczeństwa nadal znacząco ograniczają skuteczność takich operacji.
Rekomendacje
Organizacje powinny przyjąć założenie, że przeciwnik coraz częściej będzie wykorzystywał AI do automatyzacji działań ofensywnych. W praktyce wymaga to wzmocnienia kilku obszarów obrony.
Najważniejsze pozostaje skrócenie czasu łatania podatności w systemach dostępnych z Internetu. Jeśli agent AI potrafi szybko identyfikować ekspozycję i podpowiadać ścieżki eksploatacji, opóźnienia w patch management stają się jeszcze bardziej kosztowne.
Równie istotne jest wzmacnianie detekcji behawioralnej zamiast polegania wyłącznie na sygnaturach. Dynamicznie generowane skrypty mogą omijać część tradycyjnych reguł, ale nadal pozostawiają ślady w postaci anomalii procesowych, nietypowych łańcuchów wykonania, tunelowania ruchu czy podejrzanej aktywności powłoki.
Zespoły bezpieczeństwa powinny monitorować w szczególności:
- użycie web shelli i nietypowych interpreterów,
- tworzenie tuneli SSH oraz SOCKS,
- uruchamianie narzędzi do ruchu bocznego i zdalnego wykonywania poleceń,
- nietypowe operacje na systemach plików i katalogach roboczych,
- wzorce password sprayingu oraz skanowania usług.
Kluczowe pozostaje również konsekwentne wdrażanie modelu zero trust, segmentacji sieci i zasady najmniejszych uprawnień. Jeśli kompromitacja pojedynczego hosta nie otwiera prostego dostępu do kolejnych zasobów, nawet dobrze wspierany przez AI operator napotka istotne ograniczenia.
Zespoły SOC i threat hunting powinny ponadto aktualizować scenariusze wykrywania o komponent związany z AI-assisted tradecraft. Chodzi nie tylko o identyfikację samego użycia modelu, ale przede wszystkim o wykrywanie skutków jego zastosowania, takich jak świeżo generowane narzędzia, szybko zmieniające się skrypty i nietypowo uporządkowana dokumentacja po stronie napastnika.
Podsumowanie
Wykorzystanie agentów AI do tworzenia własnych narzędzi hakerskich w czasie rzeczywistym pokazuje, że automatyzacja cyberataków przestaje być dodatkiem, a staje się integralnym elementem operacji. Kampanie opisane na przykładzie Meksyku i Brazylii dowodzą, że AI może już dziś przyspieszać rekonesans, wspierać eksploatację, utrzymywać trwałość i generować unikalne komponenty ofensywne trudniejsze do wykrycia.
Dla obrońców wniosek jest jasny: zagrożenie rośnie, ponieważ przeciwnik zyskuje skalę, tempo i elastyczność. Jednocześnie solidne fundamenty bezpieczeństwa, takie jak szybkie łatanie, segmentacja, monitoring, kontrola dostępu i detekcja behawioralna, nadal skutecznie utrudniają powodzenie takich operacji.
Źródła
- Dark Reading — LatAm Vibe Hackers Generate Custom Hacking Tools on the Fly — https://www.darkreading.com/cloud-security/ai-agents-generate-custom-hacking-tools
- Trend Micro Research — Research, News, and Perspectives — https://www.trendmicro.com/en_us/research.html
- Trend Micro — Artificial Intelligence — https://www.trendmicro.com/vinfo/us/security/news/artificial-intelligence