FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

大语言模型（LLMs）与勒索软件运营的整合标志着网络犯罪格局的关键转变，这种技术更多是作为强大的运营加速器而非根本性变革。该技术显著降低了犯罪门槛，使低技术水平的攻击者也能构建功能性工具和复杂的勒索软件即服务（RaaS）基础设施。

犯罪生态碎片化

由此带来的直接后果是犯罪生态系统的碎片化——传统大型垄断性犯罪集团的时代正在消退，取而代之的是大量小型、敏捷的犯罪团伙和临时性组织。这种转变使得攻击溯源更加困难，迫使防御者应对更加嘈杂且分散的威胁环境。

攻击向量也在不断扩展，攻击者正将企业工作流程重新用于恶意目的。威胁行为者现在利用LLMs自动生成极具说服力的钓鱼邮件和本地化勒索通知，这些内容能完美模仿受害者的语言习惯。此外，这些模型彻底改变了数据筛选方式，使攻击者能够立即识别泄露数据中有价值的目标，无论原始语言为何种。

这种能力消除了语言盲区，使攻击者能够在全球范围内扩展其勒索活动，在不增加资源投入的情况下最大化入侵影响。SentinelLabs分析师指出，这种加速的关键因素在于向本地开源模型的迁移，以规避安全防护机制。

战略转型

攻击者通过将恶意请求分解为良性提示，或使用Ollama等未经审查的模型，有效减少了服务提供商的遥测数据并规避检测机制。这种战略转型使攻击者能够保持高速运营，同时降低集中式AI提供商标记其基础设施的可能性。

QUIETVAULT是这一趋势的典型代表，这种复杂恶意软件在macOS和Linux环境中将本地托管的LLMs武器化。不同于仅依赖静态模式匹配，QUIETVAULT利用受害者安装的AI工具进行智能侦察。该恶意软件向本地模型注入特定提示，指示其递归搜索用户目录中的高价值资产。

这种方法使恶意软件能够以自动化脚本无法实现的推理能力解读文件内容和相关性。该恶意软件专门针对敏感位置和加密货币资产：

目标路径：$HOME, ~/.config, ~/.local/share
目标钱包：MetaMask, Electrum, Ledger, Trezor

发现这些文件后，QUIETVAULT会执行标准的数据外泄程序：将窃取的数据进行Base64编码以规避网络监控工具的检测，然后利用本地凭证通过新建的GitHub仓库外泄有效载荷。QUIETVAULT利用本地托管LLMs增强凭证与钱包发现能力的技术，生动展示了攻击者如何适应AI技术的普及，将强大的生产力工具转变为精准数据窃取的引擎。

参考来源：

LLMs are Accelerating the Ransomware Operations with Functional Tools and RaaS

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）