FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

2025年11月20日，Akamai Hunt团队发现了一种新型恶意软件，该软件将其命令与控制（C2）流量隐藏在看似合法的大语言模型（LLM）API请求背后。随着企业越来越多地集成AI技术，这种攻击手法标志着攻击者技术手段的令人不安的演进。

利用AI流量掩护恶意通信

传统恶意软件通常使用安全工具训练检测的可疑协议或端点。但随着AI聊天界面和自动化Agent在企业中的爆炸式普及，攻击者现在正将恶意流量隐藏在这些正常流量中。这种方法使恶意通信能够与日益增长的LLM相关API调用混为一体，大大增加了防御者的检测难度。

非典型C2架构设计

新发现的恶意软件没有采用典型的C2架构，而是向一个虚假的LLM聊天补全API发送类似Base64编码的字符串，绕过了合法LLM请求通常需要的授权、模型或消息字段。这种非常规的有效载荷随后在服务器端被解码并进行XOR解密，使攻击者能够在不产生传统恶意软件流量的情况下传递指令。

腾讯云服务器作为跳板

该恶意软件首先尝试直接连接到39.97.57[.]244的套接字，当连接失败时，会切换到一个设计成类似OpenAI兼容API的HTTP C2端点：

1347790942-k1bok35vg3.ap-guangzhou.tencentscf[.]com/v1/chat/completions

Akamai指出这一策略的重要性："攻击者选择暴露这个特定端点，是为了对防御者和网络管理员显得更加合法，因为随着AI Agent、集成和自动化工具的兴起，这个API端点的使用正变得越来越普遍。"该端点托管在腾讯云无服务器云函数上，为攻击者提供了弹性扩展、地理分布和标准云自动化流量的外观，使归因和检测变得更加困难。

完整的远程控制能力

虽然恶意软件模仿LLM流量，但它并未使用云函数生成AI响应。相反，虚假的聊天补全API充当了远程访问木马（RAT）的命令网关。解码后，C2响应包含可完全控制受害者机器的指令。Akamai写道："该恶意软件支持多种指令，将其归类为具有对受害者完全远程控制能力的RAT。"

例如，$HunterInfo指令会扫描远程访问工具（如ToDesk）的配置文件，并使用相同的XOR/Base64管道将其外泄。研究人员在恶意软件中发现了三个嵌入的.NET有效载荷，这些组件构成了一个SOCKS5/HTTP代理工具包，用于通过受害者网络转发攻击者流量，使受感染设备成为理想的支点。

多阶段加载机制

Hunt团队还将该恶意软件与VirusTotal上发现的可疑RAR存档联系起来。该存档包含：

• 伪装成"个人简历.lnk"的恶意LNK文件
• 包含带有二进制有效载荷而非文档的.doc文件的嵌套目录
• 一个多阶段加载程序，最终滥用深信服科技的签名二进制文件

报告解释称："svchost.exe实际上是'SangforPromote.exe'，一个经过验证的签名文件...当给定参数-InstallLsp和一个DLL时，这个合法文件会加载该DLL。"这个名为"360"的DLL解密下一阶段（sc）并与RAT使用的两个相同C2地址通信，证实所有工具集都是单一恶意软件生态系统的一部分。

攻击手法演进趋势

虽然这不是首个滥用LLM API的恶意软件，但其技术比之前的LameHug、PromptLock或SesameOp后门更为隐蔽。Akamai强调这一更广泛的趋势："这再次证明了攻击者如何快速演进其攻击方法，这强化了组织需要为这些现代威胁做好准备的必要性。"通过将C2隐藏在OpenAI、OpenRouter或Hugging Face等已深度集成到业务工作流中的服务所使用的API模式背后，攻击者正在利用现代网络安全中的新盲点。

参考来源：

Next-Gen Stealth: Malware Hides C2 Traffic as Fake LLM API Requests on Tencent Cloud

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）