[보안뉴스 김형근 기자] 제미나이 AI 모델 API를 악용해 스스로 코드를 실시간으로 재작성하고 난독화해 탐지를 회피하는 비주얼베이직스크립트(VBScrpit) 악성코드 ‘프롬프트플럭스’(PROMPTFLUX)가 발견됐다.


[자료: 연합뉴스]

구글 위협 인텔리전스 그룹(GTIG)은 이 멀웨어가 제미나이 API에 특정 비주얼베이직스크립트 난독화 및 회피 기술을 요청해 ‘저스트 인 타임’(Just-in-Time) 자체 수정을 수행한다고 밝혔다.

이 독특한 기능은 멀웨어의 씽킹 로봇 구성 요소의 일부로, 하드 코딩된 API 키를 사용해 제미나이 1.5 플래시 이상 모델에 주기적으로 쿼리를 전송한다.

모델에 전송되는 프롬프트는 매우 구체적이며, 안티바이러스(AV) 회피를 위한 비주얼베이직스크립트 코드 변경을 요청하고 오직 코드 자체 만을 출력하도록 명령한다.

프롬프트플럭스는 이렇게 새로 난독화된 버전을 윈도우 시작 폴더에 저장해 지속성을 확보하며, 이동식 드라이브나 네트워크 공유 폴더로 자신을 복사하여 확산을 시도한다.

구글은 현재 자체 수정 기능이 주석 처리돼 있지만, AI 응답 로그를 남기는 방식 등으로 미루어 볼 때, 시간이 지남에 따라 진화할 수 있는 변형 코드를 만들려는 의도가 명확하다고 분석했다.

실제로 구글은 ‘전문 비주얼베이직스크립트 난독화 전문가’ 역할을 하도록 LLM에 지시해 1시간마다 전체 코드를 다시 작성하는 프롬프트플럭스의 변종도 발견했다.

현재 프롬프트플럭스는 피해 시스템을 공격하는 기능은 부족하지만, 개발 또는 테스트 단계에 있는 것으로 평가된다.

이는 재정적 동기를 가진 행위자가 광범위하고 산업과 지리에 구애 받지 않는 방식으로 AI 도구를 이용해 실행 중에 행동을 조정하는 악성 도구를 만들고 있음을 보여준다.

구글은 프루트셸(FRUITSHELL), 프롬프트록(PromptLock),
프롬프트스틸(PROMPTSTEAL) 등 다른 초대형언어모델(LLM) 기반 악성코드 사례들도 함께 관찰했다고 밝혔다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>