Les principales conclusions de l’étude sont les suivantes :

• La campagne a été attribuée à TA547, un acteur de menace cybercriminelle motivé financièrement et considéré comme un courtier d’accès initial (IAB) qui cible diverses régions, notamment des organisations en Espagne, en Suisse, en Autriche et aux États-Unis.
• Les chercheurs de Proofpoint ont observé des changements dans les tactiques de TA547 – le groupe a ciblé des organisations allemandes avec une campagne de courriels diffusant le malware Rhadamanthys, un « infostealer » qui n’avait jamais été observé auparavant.
• Dans les courriels envoyés, l’acteur de la menace se faisait passer pour le service facturation de l’entreprise allemande de vente au détail Metro. Les courriels ciblaient des dizaines d’organisations de divers secteurs d’activité en Allemagne.
• Le second script PowerShell utilisé pour charger Rhadamanthys contenait des caractéristiques intéressantes qui ne sont pas couramment observées dans le code utilisé par les acteurs de la menace ou les programmeurs légitimes, ce qui suggère que TA547 a utilisé un type d’outil activé par LLM pour écrire ou réécrire le PowerShell, ou qu’il a copié le script à partir d’une autre source qui l’avait utilisé.

Selon les chercheurs Proofpoint, « Il est important de noter que si TA547 a intégré le contenu suspect généré par le LLM dans la chaîne d’attaque globale, cela n’a pas modifié la fonctionnalité ou l’efficacité du logiciel malveillant, ni la façon dont les outils de sécurité se sont défendus contre lui. Dans ce cas, le code potentiellement généré par le LLM était un script qui aidait à délivrer une charge utile de logiciel malveillant, mais il n’a pas été observé qu’il modifiait la charge utile elle-même. »