恶意大模型持续升级：WormGPT 4与KawaiiGPT可生成勒索软件代码与钓鱼脚本

WormGPT 4、KawaiiGPT等不受限制的大规模语言模型的恶意代码生成能力正在不断加强。他们现在可以输出勒索软件加密程序和可直接运行的横向移动脚本，成为网络犯罪分子的有力工具。

Unit42研究团队对这两款模型进行了专项测试。目前，通过付费订阅或免费本地部署，这两种模型在网络犯罪社区中的使用不断增加。

WormGPT 4：WormGPT 的原型是专门针对网络犯罪的付费无限模型，首次出现于2023 年，但据报道该项目于同年停止运营。作为该品牌的“回归”，WormGPT 4于今年9月重新亮相，采用订阅模式，月费50美元或终身使用权220美元。该模型堪称“无审查版ChatGPT”，专门针对网络犯罪场景进行训练，不受内容安全限制。

Unit42 研究人员测试了其勒索软件代码生成功能，并表明该模型可以生成一个PowerShell 脚本来加密Windows 主机上的所有PDF 文件。脚本支持自定义配置：可指定目标文件路径和扩展名，采用AES-256算法进行数据加密，内置通过Tor网络窃取数据的选项，完全满足真实网络攻击的操作需求。

生成的数据加密脚本

此外，研究人员还利用提示文字引导WormGPT 4生成了一份“极具威慑力且复杂的勒索信”——。该信声称使用“军用级加密技术”，并要求受害者在72小时内支付赎金，否则赎金将加倍。

生成的勒索信

研究人员指出，“WormGPT 4 在商业电子邮件泄露(BEC) 和网络钓鱼攻击中提供了可信的语言操作功能”，允许技术技能较低的攻击者执行复杂的攻击，而这些攻击以前只有经验丰富的威胁参与者才能实现。

KawaiiGPT：社区驱动的免费恶意工具KawaiiGPT 是今年7 月发现的另一个大型恶意模型。作为一个免费的社区驱动项目，其核心功能包括生成高质量的网络钓鱼电子邮件和自动化横向移动所需的开箱即用脚本。 Unit42 研究人员测试了其2.5 版本，发现该模型在Linux 系统上部署只需要5 分钟。

KawaiiGPT 上生成的网络钓鱼电子邮件

多场景恶意脚本生成测试研究人员通过提示词指令验证了KawaiiGPT的四大核心能力：

1. 生成鱼叉式钓鱼邮件：支持真实域名伪造，内置凭证窃取链接；

2、Python脚本横向移动：使用paramiko SSH库连接目标主机，通过exec_command()函数远程执行命令；

3、数据窃取和传出脚本：利用os.walk函数递归遍历Windows文件系统找到目标文件，通过smtplib库将数据打包发送到攻击者控制的邮箱地址；

4. 定制赎金单生成：可以灵活配置支付指令、时限要求和常见的加密强度声明。

数据泄露功能

尽管KawaiiGPT 无法生成像WormGPT 4 那样的完整加密程序或功能性勒索软件负载，但研究人员警告称，其命令执行能力足以让攻击者实现权限升级、数据窃取以及删除和运行其他恶意负载。

这两种大型恶意模型都有专属的Telegram 频道，每个频道都有数百名订阅者，社区成员在此交流攻击技术和经验。

Unit42研究团队强调：“对这两个模型的分析证实，攻击者在实际威胁场景中积极使用大型恶意模型，此类工具不再是理论上的威胁。”

值得注意的是，这些工具显着降低了网络攻击的技术门槛：没有经验的攻击者可以利用它们大规模地进行更高级别的攻击，大大缩短了目标侦察和工具开发的时间。同时，该模型生成的钓鱼诱饵语言流畅、自然、专业，没有传统诈骗邮件中常见的语法错误，更容易引诱受害者上当。