随着AI能力飞速发展，如今网络威胁格局发生关键变化。

攻击者不再仅用人工智能工具提升效率，而是将其深度融入攻击全链条，部署具备动态行为的 AI 增强型恶意软件。

这份报告是对年初谷歌发布的《生成式 AI 的对抗性滥用》分析的更新，聚焦APT组织与网络犯罪分子的 AI 滥用实践，需要文档的自行下载PDF。

https://github.com/blackorbird/APT_REPORT/blob/master/AISecurity/2025/advances-in-threat-actor-usage-of-ai-tools-en.pdf

核心内容：

2025 年的威胁情报分析揭示了 AI 滥用的关键转向，标志着其从辅助角色正式成为核心攻击组件。

1、恶意软件实现运行时的 AI 模型调用，不再依赖预先硬编码，而是可动态生成脚本、混淆代码或创建恶意功能，向更自主和适应性方向发展。

2、攻击者通过伪装身份构建提示，以网络安全竞赛参与者、研究人员等名义，绕过 AI 安全机制获取受限信息，用于工具开发。

3、地下网络犯罪市场显著成熟，多功能 AI 工具商业化售卖已成规模，覆盖钓鱼、恶意软件开发、漏洞研究等场景，降低低技能攻击者入门门槛。

4、朝鲜、伊朗等国的APT组织持续利用 AI 强化攻击全流程，从侦察、钓鱼诱饵制作，到命令控制与数据外泄均有 AI 深度参与。

2025年至今目前检测到多个在执行过程中调用 AI 能力的恶意软件家族，虽部分仍处于实验阶段，但已展现出动态调用AI生成恶意代码的能力。

FRUITSHELL：

公开可用的 PowerShell 反弹shell工具，通过硬编码提示绕过大型语言模型安全检测，已在实际攻击中被观察到使用。

PROMPTFLUX：

VBScript dropper工具，核心功能为通过调用 Gemini API 重写自身源代码，生成混淆代码实现持久化，同时尝试通过可移动驱动器和网络共享传播，目前处于实验阶段。

PROMPTLOCK：

跨平台 Go 语言勒索软件POC工具，利用大型语言模型动态生成并执行恶意 Lua 脚本，支持文件系统侦察、数据外泄及 Windows/Linux 系统文件加密。

PROMPTSTEAL：

Python 数据收集工具，通过 Hugging Face API 查询 Qwen2.5-Coder-32B-Instruct 模型生成 Windows 命令，收集系统信息与特定文件夹文档并外泄，已在实际行动中使用。

QUIETVAULT：JavaScript 凭证窃取工具，针对 GitHub 和 NPM 令牌，通过创建公开 GitHub 仓库外泄凭证，同时利用 AI 提示和主机 AI 命令行工具搜索其他秘密文件。

其中这个恶意软件比较有代表性：

6 月初，谷歌识别出 VBScript 编写的dropper恶意软件 PROMPTFLUX，其核心特征是通过 Gemini 大模型API 实现即时自修改，逃避静态签名检测。

该恶意软件包含 “思考机器人” 模块，定期查询 Gemini 获取规避杀毒软件的新代码，通过硬编码 API 密钥调用 “gemini-1.5-flash-latest” 模型。虽部分功能被注释，且无入侵设备或网络的能力，但存在递归变异循环设计： 部分变种恶意软件每小时提示 Gemini 重写整个源代码，保留核心功能的同时实现持续演化。

6 月，俄罗斯 APT28组织（FROZENLAKE）针对乌克兰使用 PROMPTSTEAL（ LAMEHUG），这是首次观察到恶意软件在实际行动中查询大型语言模型。

该工具伪装成图像生成程序，引导用户生成图像的同时，通过 Hugging Face API 查询模型生成系统信息收集和文档复制命令，并不管代价如何，就在后台执行并生成结果。新样本已添加混淆机制并更改命令控制方法，疑似使用窃取的 API 令牌。

此外谷歌透露还有APT组织通过社会工程学的方式，引诱Gemini的输出涉及漏洞挖掘、恶意软件编写的内容。

比如：APT组织 TEMP.Zagros（MUDDYCOAST、Muddy Water）以学生大学项目、网络安全论文撰写等名义，向AI寻求自己编写的恶意软件开发协助，过程中因暴露硬编码命令控制域和加密密钥，导致基础设施被识别并中断会话。

还有人伪装成CTF选手，正在参加CTF比赛，然后去引诱Ai返回有效信息。

2025 年至今，地下论坛中，专为非法黑客活动设计的 AI 工具和服务需求激增，工具定价遵循常规软件模式 —— 免费版含广告，订阅版解锁高级功能，显著降低攻击门槛。

在售 AI 恶意工具的核心能力包括：

深度假 / 图像生成（用于钓鱼诱饵、绕过 KYC 安全）、恶意软件定制生成、钓鱼套件开发与分发支持、快速侦察与主题总结、技术支持与代码生成优化、公开漏洞搜索与利用建议。

英语和俄语地下论坛的相关广告普遍模仿合法 AI 营销话术，强调工作流效率，吸引脚本小子们参与网络犯罪，试图推动 AI 相关威胁向常态化发展。

APT组织的全攻击链条 AI 增强

APT组织持续将生成式 AI 工具融入攻击全阶段，覆盖目标侦察、工具开发、诱饵制作、横向移动、数据窃密等关键环节。

UNC1069（MASAN）利用 AI 研究加密货币概念与钱包数据位置，生成社会工程学的话术借口与加密货币诱饵，开发窃取代码并伪造软件更新；

UNC4899（PUKCHONG）借助 AI 进行代码开发、漏洞研究与工具改进，重点针对边缘设备和现代浏览器。

APT42 利用 AI 生成钓鱼诱饵文本，伪装知名智库发布安全技术、活动邀请等内容，同时尝试构建 “数据处理代理”，将自然语言转为 SQL 查询，挖掘敏感个人数据；还将 AI 用作翻译与研究工具，针对以色列国防相关目标。

还有APT组织利用 AI 辅助 C++ 和 Golang 代码开发，支持 OSSTUN 命令控制框架，同时寻求代码混淆技术支持；甚至还有组织会借助 AI 研究云基础设施、vSphere、Kubernetes 等非常规攻击面，探索临时会话令牌利用、容器枚举等技术。

总结下来：2025 年的网络威胁格局清晰表明，AI 已从辅助工具演进为核心攻击武器，动态恶意软件、AI 驱动的混淆技术、地下工具商业化等趋势，正推动威胁形态向更复杂、更具适应性的方向发展。