Hackerların Yeni Beyni – Yapay Zeka Destekli PROMPTFLUX Atakları Başladı – Siber Savaşta LLM Çağı

Giriş: Yapay Zeka, APT Gruplarının Yeni Silahı

Yapay Zeka (YZ) ve Büyük Dil Modelleri (LLM), artık sadece geliştiricilerin veya içerik üreticilerinin elinde bir araç değil. Google Tehdit İstihbaratı (Threat Intelligence) analizleri, ileri düzey tehdit gruplarının (APT) YZ’yi doğrudan gerçek siber saldırı kampanyalarına entegre ettiğini ortaya koyuyor. LLM’lerin kötü amaçlı yazılımlara (malware) gömüldüğü bu yeni dönem, siber güvenlik dünyası için bir dönüm noktasıdır.

Bu makale, YZ’nin siber suç ekonomisine nasıl entegre olduğunu, tespit edilen ilk kampanyaları ve bu sürekli değişen tehdit ortamına karşı kurumların alması gereken acil önlemleri detaylandırmaktadır.

🌍 YZ Destekli İlk Kötü Amaçlı Yazılım Kampanyaları

Analistler, YZ yeteneklerini farklı amaçlar için kullanan birkaç öncü APT (Gelişmiş Sürekli Tehdit) kampanyası tespit etti:

1. Kod Değiştirme ve Kaçınma (Evasion)

• PROMPTFLUX: Bu dropper (yükleyici), en dikkat çekici YZ entegrasyonudur. Kötü amaçlı yazılım, Gemini API‘sini kullanarak çalışması sırasında kendi kodunu yeniden yazar (self-rewriting). Bu, zararlı kodun davranışını anlık olarak değiştirmesine ve geleneksel antivirüs (AV) veya imza tabanlı savunma sistemlerini anında atlatmasına olanak tanır.
• Atağın Niteliği: Kodun çalışma anında yeniden yazılması, saldırıların “anında değişen” (on-the-fly) bir nitelik kazanması anlamına gelir.

2. İstihbarat ve Veri Hırsızlığı

• PROMPTSTEAL: Bu kampanya, Hugging Face gibi platformlarda bulunan LLM’leri kullanarak, çaldığı verilere göre komutlar veya yapılandırılmış sorgular oluşturur. Amaç, çalınan verinin analizi ve hırsızlık sürecini otomatikleştirmektir.
• QUIETVAULT: Özellikle geliştirici ekosistemine odaklanan bu tehdit, yazılım geliştirme projelerindeki GitHub/NPM tokenlarını, API anahtarlarını ve kod içindeki diğer gizli bilgileri (secrets) avlar.

3. Geleneksel APT Gruplarının YZ Kullanımı

• COLDRIVER, VOLTZITE, NORTHSTAR: Bu köklü APT grupları, saldırılarının çeşitli aşamalarında LLM’leri kullanmaktadır:
  • Keşif (Reconnaissance): Hedef hakkında otomatik ve derinlemesine bilgi toplama.
  • Oltalama (Phishing) İçerik Üretimi: Çok daha ikna edici, dilbilgisi hatası içermeyen ve bağlama uygun oltalama e-postaları veya web siteleri oluşturma.
  • Payload (Zararlı Yük) Geliştirme: Daha karmaşık ve benzersiz zararlı yükler üretme.

🎭 Sosyal Mühendislikte Yeni Seviye: Model Atlatma

Hackerlar, YZ modellerinin güvenlik mekanizmalarını (guardrails) aşmak için sofistike sosyal mühendislik yöntemleri kullanmaktadır:

• “Jailbreaking” ve Rol Yapma: Saldırganlar, öğrenci, öğretim görevlisi veya CTF (Capture The Flag) katılımcısı gibi roller üstlenerek modelin güvenlik kısıtlamalarını manipüle etmeye çalışır. Amaç, modelden normalde yasak olan prompt’ları (istekleri) ve zararlı kod parçalarını almaktır.
• Prompt Saldırıları: Bu yöntemler, IDOR (Insecure Direct Object Reference) gibi geleneksel zafiyetleri ve çeşitli CVE‘leri (Ortak Güvenlik Açığı ve Etkilenme Listesi) kullanarak, bulut modellerine yüklenmiş hassas verileri sızdırmayı hedefler.

💰 YZ, Siber Suç Ekonomisinin Parçası

Yapay zeka, artık sadece sofistike devlet aktörlerinin değil, parası olan herkesin erişebileceği bir araca dönüşmüştür:

• Darknet’te YZ Hizmetleri: DARKNET’te, YZ destekli hizmetler “anahtar teslimi” (turnkey) çözümler olarak satılmaktadır. Bunlar arasında otomatik oltalama (phishing) metin üretimi, güvenlik açığı tespiti ve zararlı API erişimi bulunmaktadır.
• Erişilebilirlik: Bu durum, siber suçun giriş engelini düşürerek, vasıfsız suçluların bile karmaşık saldırılar yapabilmesini sağlamaktadır.

🛡️ Bu Yeni Tehdit Düzlemine Karşı Ne Yapılmalı?

Yapay zeka tarafından desteklenen saldırılar, geleneksel AntiVirüs yazılımlarının ve statik analiz yöntemlerinin yetersiz kaldığı yeni bir mücadele alanı yaratmaktadır.