Se ha observado que el actor de amenazas TA547 apunta a organizaciones alemanas con el conocido ladrón Rhadamanthys.

Según un informe reciente de Proofpoint, esta es la primera vez que este actor de amenazas se asocia con dicha actividad.

Lo que es particularmente intrigante según los investigadores es el aparente empleo por parte del actor de un script de PowerShell probablemente generado por grandes modelos de lenguaje (LLM) como ChatGPT, Gemini o CoPilot.

Haciéndose pasar por la conocida empresa minorista alemana Metro, TA547 envió correos electrónicos relacionados con facturas. Estos correos electrónicos, enviados a numerosas organizaciones de diferentes industrias en Alemania, contenían un archivo ZIP protegido con contraseña que albergaba un archivo LNK.

Tras la ejecución, este archivo LNK activó PowerShell para iniciar un script remoto y, en última instancia, cargar y ejecutar el malware Rhadamanthys directamente en la memoria del sistema, evitando la necesidad de escribir en el disco.

En particular, el script de PowerShell exhibió características poco comunes en un actor de amenaza típico o en un código de programador legítimo, lo que indica una posible participación de LLM. Dichos factores incluían comentarios gramaticalmente correctos e hiperespecíficos sobre cada componente del guión, un sello distintivo del contenido generado por LLM.

Esta campaña muestra el cambio estratégico de TA547, incluida la adopción de LNK comprimidos y la introducción de Rhadamanthys. También subraya cómo los actores de amenazas aprovechan el contenido sospechoso generado por LLM en sus esfuerzos maliciosos.

Sin embargo, según Proofpoint, si bien los actores de amenazas pueden utilizar LLM para ayudar a comprender cadenas de ataques complejas y potencialmente mejorar sus campañas, esto no altera la funcionalidad o eficacia del malware. De hecho, la empresa cree que la mayoría de los mecanismos de detección basados ​​en el comportamiento siguen siendo eficaces independientemente del origen del software malicioso.