Eind november 2022 bracht OpenAI 'ChatGPT' uit. De nieuwe interface voor het 'Large Language Model (LLM)', die meteen veel belangstelling wekte voor AI en de potentiële toepassingen ervan. ChatGPT droeg echter ook bij aan het moderne cyber dreigingslandschap, omdat al snel duidelijk werd dat het genereren van code minder vaardige cybercriminelen kon helpen bij het eenvoudig uitvoeren van cyberaanvallen.
OpenAI om kwaadaardige tools te ontwikkelen
Uit analyse van verschillende grote ondergrondse hacker gemeenschappen blijkt dat er al eerste gevallen zijn van cybercriminelen die OpenAI gebruiken om kwaadaardige tools te ontwikkelen. Zoals we al vermoedden, bleek uit sommige gevallen duidelijk dat veel cybercriminelen die OpenAI gebruiken helemaal geen ontwikkelingsvaardigheden hebben. Hoewel de tools die we in dit verslag presenteren vrij basaal zijn, is het slechts een kwestie van tijd totdat meer geavanceerde cybercriminelen de manier waarop ze AI-gebaseerde tools gebruiken voor kwaadaardige doeleinden verbeteren.
- Voorbeeld 1 - Het creëren van Infostealer
Op 29 december 2022 verscheen op een populair underground hacking forum een onderwerp genaamd "ChatGPT - Voordelen voor Malware". De schrijver van de het onderwerp onthulde dat hij experimenteerde met ChatGPT om malware stammen en technieken te exploiteren die zijn beschreven in onderzoekspublicaties en artikelen over 'gewone malware'. Als voorbeeld deelde hij de code van een op Python gebaseerde stealer die zoekt naar veel voorkomende bestandstypen, deze kopieert naar een willekeurige map in de Temp-map, deze ZIP't en uploadt naar een versleutelde FTP-server.
Cybercrimineel laat zien hoe hij infostealer heeft gemaakt met behulp van ChatGPT
De analyse van het script bevestigt de beweringen van de cybercrimineel. Het is inderdaad een eenvoudige 'basic stealer' die het systeem doorzoekt naar 12 gangbare bestandstypen (zoals MS Office-documenten, PDF's en afbeeldingen). Als er interessante bestanden worden gevonden, kopieert de malware de bestanden naar een tijdelijke directory, zipt ze en verstuurt ze via het web. Het is vermeldenswaard dat de cybercrimineel niet de moeite heeft genomen om de bestanden te versleutelen of veilig te verzenden, zodat de bestanden ook in handen van derden kunnen komen.
Het tweede voorbeeld dat deze cybercrimineel maakte met ChatGPT is een eenvoudig Java-fragment. Het downloadt PuTTY, een veelgebruikte SSH en telnet client, en voert het heimelijk uit op het systeem met behulp van Powershell. Dit script kan natuurlijk worden aangepast om elk programma te downloaden en uit te voeren, inclusief veel voorkomende malware families.
Bewijs van hoe hij een Java-programma heeft gemaakt dat PuTTY downloadt en uitvoert met Powershell
De eerdere deelname van deze cybercrimineel aan het forum omvat het delen van verschillende scripts, zoals automatisering van de post-exploitatie fase, en een C++ programma dat probeert te phishen naar gebruikersgegevens. Daarnaast deelt hij actief gekraakte versies van SpyNote, een Android RAT-malware. In het algemeen lijkt deze persoon dus een technisch georiënteerde cybercrimineel, en het doel van zijn posts is om minder technisch georiënteerde cybercriminelen te laten zien hoe ze ChatGPT kunnen gebruiken voor kwaadaardige doeleinden, met echte voorbeelden die ze meteen kunnen gebruiken.
- Voorbeeld 2 - Een encryptietool maken
Op 21 december 2022 plaatste een cybercrimineel met de naam USDoD een Python-script, waarvan hij benadrukte dat het het eerste script was dat hij ooit had gemaakt.
Cybercrimineel genaamd USDoD post multi-layer encryptie tool
Toen een andere cybercrimineel opmerkte dat de stijl van de code lijkt op OpenAI-code, bevestigde USDoD dat de OpenAI hem een "mooie 'helpende' hand gaf om het script met een mooie reikwijdte af te maken".
Bevestiging dat de meerlaagse versleuteling is gemaakt met behulp van Open
De analyse van het script wees uit dat het een Python-script is dat cryptografische bewerkingen uitvoert. Meer specifiek is het eigenlijk een mengelmoes van verschillende ondertekenings-, versleutelings- en ontsleutelingsfuncties. Op het eerste gezicht lijkt het script onschuldig, maar het implementeert verschillende functies:
- Het eerste deel van het script genereert een cryptografische sleutel (maakt specifiek gebruik van elliptische curvecryptografie en de curve ed25519), die wordt gebruikt bij het ondertekenen van bestanden.
- Het tweede deel van het script bevat functies die een hard gecodeerd wachtwoord gebruiken om bestanden in het systeem te versleutelen met behulp van de Blowfish- en Twofish-algoritmen tegelijkertijd in een hybride modus. Met deze functies kan de gebruiker alle bestanden in een specifieke directory of een lijst van bestanden versleutelen.
- Het script gebruikt ook RSA sleutels, gebruikt certificaten opgeslagen in PEM formaat, MAC ondertekening, en blake2 hash functie om de hashes te vergelijken enz.
Het is belangrijk op te merken dat alle decryptie-tegenhangers van de encryptiefuncties ook in het script zijn geïmplementeerd. Het script bevat twee hoofdfuncties; een die wordt gebruikt om een enkel bestand te versleutelen en een berichtauthenticatiecode (MAC) toe te voegen aan het einde van het bestand en de andere versleutelt een hardcoded pad en ontsleutelt een lijst van bestanden die het als argument ontvangt.
Alle bovengenoemde code kan natuurlijk op een goedaardige manier worden gebruikt. Dit script kan echter gemakkelijk worden aangepast om iemands machine volledig te versleutelen zonder enige interactie van de gebruiker. Zo kan de code mogelijk worden omgezet in ransomware als de problemen met het script en de syntaxis worden verholpen.
Hoewel het erop lijkt dat UsDoD geen ontwikkelaar is en beperkte technische vaardigheden heeft, is hij een zeer actief en gerenommeerd lid van de ondergrondse gemeenschap. UsDoD houdt zich bezig met verschillende illegale activiteiten, waaronder het verkopen van toegang tot gecompromitteerde bedrijven en gestolen databases. Een opmerkelijke gestolen database die USDoD onlangs deelde was naar verluidt de gelekte InfraGard-database.
Eerdere illegale activiteit van USDoD waarbij de InfraGard-database werd gepubliceerd
- Voorbeeld 3 - Het faciliteren van ChatGPT voor frauduleuze activiteiten
Een ander voorbeeld van het gebruik van ChatGPT voor frauduleuze activiteiten werd gepost op oudejaarsavond van 2022, en het liet een ander type cybercriminele activiteit zien. Terwijl onze eerste twee voorbeelden meer gericht waren op malware-georiënteerd gebruik van ChatGPT, toont dit voorbeeld een discussie met de titel "Abusing ChatGPT to create Darkweb Marketplaces scripts". In dit onderwerp laat de cybercrimineel zien hoe eenvoudig het is om een Darkweb marktplaats te creëren, met behulp van ChatGPT. De belangrijkste rol van de marktplaats in de ondergrondse illegale economie is het bieden van een platform voor de geautomatiseerde handel in illegale of gestolen goederen zoals gestolen rekeningen of betaalkaarten, malware, of zelfs drugs en munitie, met alle betalingen in cryptocurrencies. Om te illustreren hoe ChatGPT voor deze doeleinden kan worden gebruikt, publiceerde de cybercrimineel een stuk code dat de API van derden gebruikt om actuele prijzen van cryptocurrency (Monero, Bitcoin en Etherium) te verkrijgen als onderdeel van het betalingssysteem van de Darkweb markt.
Bedreigende actor gebruikt ChatGPT om Darkweb Market-scripts te maken
Begin 2023 openden verschillende cybercriminelen discussies op extra ondergrondse fora gericht op het gebruik van ChatGPT voor frauduleuze doeleinden. De meeste daarvan waren gericht op het genereren van willekeurige kunst met een andere OpenAI-technologie (DALLE2) en het online verkopen daarvan via legitieme platforms zoals Etsy. In een ander voorbeeld legt de cybercrimineel uit hoe een e-book of kort hoofdstuk van een specifiek onderwerp kan worden gegenereerd (met behulp van ChatGPT) en hij die vervolgens online verkoopt.
Meerdere onderwerpen in de ondergrondse forums over het gebruik van ChatGPT voor fraudeactiviteiten
Samenvatting
Het is nog te vroeg om te concluderen of "ChatGPT-mogelijkheden" het nieuwe instrument bij uitstek zullen worden voor cybercriminelen op het Darkweb. De cybercriminele gemeenschap heeft echter al aanzienlijke belangstelling getoond en springt in op deze nieuwste trend om kwaadaardige code te genereren. Cybercrimeinfo zal deze activiteit gedurende 2023 blijven volgen.
Tot slot is er geen betere manier om meer te weten te komen over misbruik van ChatGPT dan door het ChatGPT zelf te vragen. Dus we vroegen de chatbot naar de misbruik mogelijkheden en kregen een behoorlijk interessant antwoord:
Antwoord van ChatGPT over hoe bedreigingsactoren openAI misbruiken
Bron: anoniem, openai.com, checkpoint.com
Bekijk alle vormen en begrippen
Blijf op de hoogte en schrijf je in voor de wekelijkse nieuwsbrief op zondag om 19:00
Meer actueel nieuws
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.