图：恶意软件PromptLock的Lua代码生成请求示例

ESET发现一个正在开发阶段的新型勒索软件PromptLock，其恶意行为代码由一个私有部署的大模型动态生成，预计未来有可能根据失陷环境量身定制攻击代码。

一种新型勒索软件日前被发现。据称这是首个利用本地AI模型生成恶意组件的勒索软件变种。

该恶意软件由ESET研究团队发现并命名为“PromptLock”。它通过Ollama API调用OpenAI的gpt-oss:20b模型，生成定制化、跨平台的Lua脚本，用于其攻击链。

目前，这款恶意软件仍处于概念验证（PoC）阶段，尚未在真实攻击中被部署。然而，其新颖的架构代表了恶意软件设计出现重大变化，令人担忧。它揭示了威胁行为者如何开始集成本地大模型（LLM），打造更具动态性、更难以检测的攻击手段。

动态代码生成

PromptLock由Golang编写，在VirusTotal数据库中发现了其Windows和Linux两个变种。

与传统勒索软件不同，PromptLock的核心机制并非依赖预编译的恶意逻辑。它在程序中内置了硬编码的提示词（prompt），并将这些提示词输入到本地运行的gpt-oss:20b模型中。对其网络流量的分析显示，恶意软件会向本地Ollama API端点（172.42.0[.]253:8443）发送POST请求。这些请求包含的指令要求AI模型充当“Lua代码生成器”。

图：恶意软件PromptLock的Lua代码生成提示词

这些提示词驱动模型生成用于特定恶意活动的脚本，包括：

系统枚举：生成Lua代码以收集系统信息，如操作系统类型、用户名、主机名和当前工作目录。提示词特别要求具备Windows、Linux和macOS的跨平台兼容性。
文件系统检查：编写脚本扫描本地文件系统，识别目标文件并分析内容，指令明确要求定位个人身份信息（PII）或敏感数据。
数据渗出与加密：在识别到目标文件后，AI生成的脚本会被执行，以完成数据窃取并进行后续加密。

选择Lua语言是一个重大决策。由于Lua轻量且易于嵌入，所生成的脚本能够在多种操作系统上无缝运行，尽量扩大恶意软件的潜在攻击范围。

在加密模块方面，PromptLock采用SPECK 128位分组加密算法。这是一种轻量级算法，非常适合此类灵活的攻击模型。

尚处于开发阶段

ESET研究人员指出，多项迹象显示PromptLock仍处于开发阶段。例如，其中定义了一个用于数据销毁的函数，但尚未真正实现。

更引人注目的是，在某些提示词中竟然出现了一个异常信息：一个比特币地址，看似与比特币匿名创始人中本聪有关。虽然这极有可能只是一个占位符或混淆手段，但也为这一早期阶段的恶意软件增添了独特的“标记”。

尽管恶意软件仍处于概念验证阶段，ESET依然选择公开相关发现。研究人员表示：“我们有责任将此类发展趋势及时告知网络安全社区”，并强调必须积极应对这一新兴威胁路径。

随着本地大模型日益强大且更易获取，安全团队必须为未来做好准备：恶意软件将不再是静态的，而是能够在受害者机器上动态生成。

参考资料：cybersecuritynews.com

卫星网络遭精准攻击！伊朗关键货运船队海上失联细节披露

图：披露材料显示，遭遇攻击时部分船只位于公海上

知名黑客组织Lab-Dookhtegan披露了近期袭击伊朗64艘邮轮与货轮的大量数据，揭示了一起以网络攻击实施战略打击的高水平行动。

黑客组织Lab-Dookhtegan连续数月对伊朗基础设施展开系统性攻击。近日，他们主动联系独立网络间谍调查员Nariman Gharib，披露了一起最新行动的细节。就在8月，他们发动了一轮大规模打击。

今年3月，他们曾对116艘伊朗船只发起攻击破坏通信，以此展示了自己的实力。他们公布的新一轮行动证据更为惊人：64艘船彻底与外界失联，导航系统被清空，数字化破坏如此严重，以至于部分船只可能数月内都无法恢复。

此次攻击目标涵盖39艘油轮和25艘货轮，这些船只均隶属于受制裁的伊朗航运巨头伊朗国家油运公司（NITC）和伊朗国家航运公司（IRISL）。尽管媒体仅以“船只通讯受干扰”作为标题，但技术证据揭示的却是一段更黑暗的故事。

入侵技术细节

黑客们并未直接入侵船只系统。那几乎不可能实现，因为必须同时攻破分布在全球数十艘船上的终端。相反，他们选择了更好的突破口：Fanava集团，一家伊朗IT公司，正好为整个船队提供卫星通讯服务。

图：Fanava集团数据

黑客分享的截图显示，他们在运行iDirect卫星软件的Linux终端上取得了root权限。该系统使用的是2.6.35版本的内核。这在网络安全标准下几乎是“古董级”的存在。软件漏洞之多，甚至超过了老年人使用的Internet Explorer浏览器。

有趣的是，他们并未止步于一次入侵。数据库转储文件显示，他们绘制了整个船队的通信全景图，对每艘船的调制解调器逐一标记。MySQL查询记录中提取了包括Touska、Mahnam、Zardis在内的数十艘船的相关数据。每条记录都包含船只的调制解调器序列号、网络ID等关键信息。这几乎相当于掌握了一份完整的伊朗海事通信网络蓝图。

在系统清单中，他们特别盯上了一款名为“Falcon”的软件。这是维系所有卫星链路的核心程序，可以认为是船只通信系统的核心。一旦Falcon停摆，船只便会彻底与外界失联：无法收发邮件、无法更新天气、无法与港口协调，什么都没有。

邮件日志揭示了此次攻击行动细节。时间戳显示，他们最早在5月和6月就已取得访问权限。这意味着Lab-Dookhtegan并非3月短暂行动后便抽身离去，而是在伊朗的海事网络中整整潜伏了5个月。他们不仅保持着持久访问，还能够随时开关系统，甚至可能实时监控所有经过的通信。

从数月间不同时间点触发的“节点宕机通知”可以看出，黑客们在反复测试控制权，确认自己始终握有“钥匙”。然而到了8月，他们不再只是测试，而是选择发动一次真正的“火力打击”。

海上焦土战术

攻击者的目的远不止干扰运营，而是企图制造不可逆的损毁。部分日志显示了具有系统性数据清除效果的命令：