تحلیل فنی بدافزار PROMPTFLUX | هوش مصنوعی در خدمت هکرها

گوگل بدافزار جدیدی به نام PROMPTFLUX را کشف کرده که با استفاده از هوش مصنوعی Gemini می‌تواند هر ساعت کد خود را بازنویسی کند. در این مقاله تحلیل فنی و نقش هوش مصنوعی در این تهدید سایبری نوظهور را بخوانید. تحلیل بدافزار PROMPTFLUX مقدمه تحلیل تعداد زیادی بد افزار مبتنی بر هوش مصنوعی خواهد بود.

ساختار و ویژگی‌های بنیادین در تحلیل بدافزار PROMPTFLUX

• PROMPTFLUX در قالب یک کد VBScript طراحی شده است. این بدافزار از روش «Dropper» استفاده می‌کند: ابتدا بخشی از کد را به‌عنوان پوششی (مثلاً یک نصب‌کننده ظاهراً قانونی) اجرا می‌کند، سپس payload اصلی را فعال می‌سازد.
• برای حفظ ماندگاری (Persistence)، فایل‌های بازطراحی‌شده را در پوشه‌های راه‌اندازی ویندوز (Startup Folder) ذخیره می‌کند و خود را روی درایوهای قابل حمل و شبکه‌های اشتراک شده نیز تکثیر می‌کند.

نوآوری‌های فنی مبتنی بر هوش مصنوعی

• ماژولی با عنوان «Thinking Robot» در کد وجود دارد که به‌صورت دوره‌ای (مثلاً هر ساعت) با استفاده از API مدل زبانی Gemini تماس می‌گیرد و درخواست می‌کند تا نسخه‌ای جدید از کد VBScript تولید کند که برای آنتی‌ویروس‌ها کمتر قابل تشخیص باشد.
• پرامپت ارسال‌شده به مدل LLM بسیار دقیق هستند: مثلاً «کد VBScript بنویس که عملکرد X را مخفی کند و پوشه Startup را نشانه بگیرد».
• این روش، بدافزار را به نوعی پلیمرفیک یا «خودتغییردهنده» تبدیل می‌کند که از تشخیص مبتنی بر ساین (signature-based detection) فاصله می‌گیرد.
• اگرچه نسخه‌های آزمایشی فعلی هنوز «عملیات‌محور گسترده» نیستند، اما این تکنیک نشان‌دهنده مرحله جدیدی از تهدیدات مبتنی بر AI است.

زنجیره نفوذ وضعیت‌شده۱. عامل مخرب یک فایل VBScript آلوده را از طریق روش‌های آشنا (مثلاً ایمیل فیشینگ یا نرم‌افزار جعلی) وارد سیستم می‌کند. این بد افزار ممکن است در قالب یک فایل آفیس یا تمپلیت پاورپوینت باشد.
۲. بدافزار پس از اجرا، ماژول Thinking Robot را فعال می‌سازد؛ ماژول با مدل Gemini ارتباط می‌گیرد تا کد جدیدی تولید شود.
۳. فایل تولیدشده در پوشه Startup ویندوز ذخیره می‌شود تا با هر بار راه‌اندازی سیستم اجرا گردد. در واقع بد افزار خود را تثبیت میکند.
۴. بدافزار فایل خود را روی درایوهای USB یا شبکه‌های اشتراک‌شده کپی می‌کند تا انتشار یابد.
۵. از آنجایی که کد دائماً بازنویسی می‌شود، ابزارهای امنیتی مبتنی بر امضا یا هش دچار مشکل می‌شوند.

نقاط ضعف و محدودیت‌های فعلی

گوگل گزارش داده که PROMPTFLUX در وضعیت «آزمایشی» است و هنوز شواهدی از تخریب گسترده یا دسترسی به اطلاعات حساس منتشر نشده است.

با وجود تغییرات کد، برای موفقیت کامل نیاز به زیرساخت‌های دیگری (مثل سرور کنترل و فرمان، انتقال داده، اکسپلویت پیچیده) دارد که فعلاً مشاهده نشده‌اند.

مدل‌های LLM مورد استفاده ممکن است برای سؤال‌های بسیار تخصصی یا مخرب محدودیت داشته باشند؛ به‌عبارت دیگر، استفاده از AI به‌تنهایی تضمین‌کننده موفقیت نیست.

نقش هوش مصنوعی در PROMPTFLUX

هوش مصنوعی در PROMPTFLUX نه فقط به‌عنوان ابزار کمکی بلکه به‌عنوان هسته عملکردی عمل می‌کند. بخش‌های کلیدی نقش AI به شرح زیر هستند:

1. تولید کد بر خط (On-the-fly Code Generation): بر خلاف بدافزارهای سنتی که کد آن‌ها از پیش تعریف شده، PROMPTFLUX از LLM برای تولید نسخه‌های جدید کد می‌کند.
2. ابهام‌سازی کد (Code Obfuscation): با پرسش به مدل LLM، بدافزار کد تولید می‌کند که طراحی شده است تا در ابزارهای تحلیل ایستا دیده نشود یا شناخته نشود.
3. خودتغییردهندگی (Self-Modification): بدافزار می‌تواند هر ساعت یا بازه زمانی مشخص، نسخه جدیدی از خود بسازد، که به تشخیص آن توسط ابزارهای امنیتی سخت‌تر کمک می‌کند.
4. استفاده از API مدل‌های هوش مصنوعی: برای مثال، پرسش‌هایی با مضمون «کد VBScript بنویس که …» به مدل Gemini ارسال شده و پاسخ مستقیماً اجرا شده است.
5. افزایش مقیاس‌پذیری تهدید: با استفاده از AI، افراد خرابکار با دانش فنی کمتر نیز می‌توانند ابزار مخرب بسازند؛ یعنی سطح فنی ورود به حملات کاهش می‌یابد.

راهکارهای مقابله و کاهش ریسکبرای هر دو گروه کاربران عمومی و کارشناسان امنیت، رعایت نکات زیر حیاتی است:

سیستم عامل، نرم‌افزارها و آنتی‌ویروس را به‌روزرسانی کنید و وصله‌های امنیتی را نصب نمایید.در هنگام دانلود فایل‌ها یا باز کردن پیوست‌ها از منابع ناشناخته، احتیاط کنید.اجرای ابزارهایی مبتنی بر رفتار (behavior-based detection) را جایگزین تنها ابزارهای مبتنی بر امضا کنید؛ چرا که بدافزارهایی مانند PROMPTFLUX از امضاها می‌گریزند.دسترسی به APIهای مدل هوش مصنوعی را محدود کنید؛ اگر سازمانی هستید که از LLM استفاده می‌کنید، اطمینان یابید که کنترل دسترسی، مانیتورینگ و لاگینگ دارید.بر فعالیت روی پوشه‌های راه‌اندازی ویندوز (Startup) و دستگاه‌های ذخیره‌سازی قابل حمل (USB) نظارت داشته باشید — چون این‌ها نقاط هدف اولیه هستند.کاربران و کارکنان را آموزش دهید تا با علائم اولیه بدافزار و فیشینگ آشنا باشند و رفتار مشکوک را گزارش دهند.

نتیجه‌گیری

بدافزار PROMPTFLUX نمایانگر فصل جدیدی در نبرد سایبری است؛ نوآوری‌ای که در آن هوش مصنوعی محور عملیات مخرب شده است. این تهدید هنوز در مرحله آزمایشی قرار دارد، اما سیگنال هشداردهنده‌ای برای آینده است. از این پس، ابزارهای امنیتی کلاسیک ممکن است برای مقابله کافی نباشند و نیاز به راهکارهای مبتنی بر رفتار، هوش مصنوعی دفاعی و کنترل دقیق‌تر وجود دارد. اگرچه کاربر عادی ممکن است در کوتاه‌مدت هدف مستقیم این بدافزار نباشد، اما رعایت «بهداشت سایبری» و آموزش فردی می‌تواند از آسیب بزرگتر جلوگیری کند. کارشناسان امنیت باید آماده ابزارها و استراتژی‌های جدیدتر باشند تا در برابر نسل تازه تهدیدات ایستادگی کنند.

منابع

• گزارش Google Threat Intelligence Group (GTIG) با عنوان “Advances in Threat Actor Usage of AI Tools” (نوامبر ۲۰۲۵)services.google.comservices.google.com.
• Eric Geller, مقاله “AI-based malware makes attacks stealthier and more adaptive”, نشریه Cybersecurity Dive (۵ نوامبر ۲۰۲۵)cybersecuritydive.comcybersecuritydive.com.
• Sam Sabin, مقاله “AI-powered malware is here”, خبرگزاری Axios (۵ نوامبر ۲۰۲۵)axios.com.
• Suzanne Smalley, مقاله “New malware uses AI to adapt during attacks, report finds”, وب‌سایت The Record (۵ نوامبر ۲۰۲۵)therecord.media.
• Ravie Lakshmanan, گزارش “Google Uncovers PROMPTFLUX Malware That Uses Gemini AI to Rewrite Its Code Hourly”, وب‌سایت The Hacker News (۵ نوامبر ۲۰۲۵)thehackernews.comthehackernews.com.
• Eduard Kovacs, مقاله “Malware Now Uses AI During Execution to Mutate and Collect Data, Google Warns”, نشریه SecurityWeek (۵ نوامبر ۲۰۲۵)securityweek.com.