FunkSec：新兴的黑客团体与人工智能的结合

关键要点

• FunkSec 是一个新兴的勒索软件服务（RaaS）团体，具有黑客行为者的背景，并声称利用人工智能辅助其网络犯罪活动。
• 该团体于2024年首次现身，随后在其数据泄露网站上发布了超过85名声称的受害者。
• FunkSec 的活动显现出其成员的业余水平，且与前黑客组织Ghost Algéria存在联系。
• 此外，FunkSec 利用人工智能工具提升其网络犯罪能力，并不断更新其勒索软件版本。

FunkSec 勒索软件团体是一个相对较新的勒索软件服务（RaaS）组织，具有黑客行为者的联系，似乎通过人工智能来协助其网络犯罪活动，Check PointResearch 在周五发布的一项分析中指出该信息。该团体于2024年10月首次出现在 Breached论坛，并于2024年12月建立了其数据泄露网站。在其早期行动中，FunkSec发布了一段被称为“泄露”的通话录音，内容涉及当时的美国总统候选人唐纳德·特朗普和以色列总理本雅明·内塔尼亚胡，这段录音被认为“显然是人工智能生成的”。

在 FunkSec数据泄露网站成立的首个月，该团体声称受害者人数超过了当月的其他任何勒索软件团伙——总计达到85个。然而，研究人员指出，其中许多泄露似乎是过去黑客行为运动的再利用，这进一步证实了该团体与黑客行为的联系，并对其作为勒索软件威胁参与者的能力提出了质疑。

不成熟的黑客行为者转型为勒索软件冲动

CheckPoint 发现 FunkSec 和黑客行为者之间的联系，尤其是一个现在已解散的组织 Ghost Algéria，该组织的名称出现在
FunkSec 勒索软件释放的几乎相同的赎金信中。研究人员还确定了与 FunkSec 有关的几个人物，他们似乎在 Breached论坛等网络犯罪平台上共同推进该团体的活动。

追踪 FunkSec 关联者的活动揭示了一种业余的行为模式；该团体首次宣传者之一的 Scorpion 或 DesertStorm在公开发布的截图中暴露了他们位于阿尔及利亚的地点，并最终在2024年11月被 Breached 论坛禁言。另一个关键人物 El_farado则多次发帖询问基础问题，例如黑客应如何处理他们窃取的数据。

对 FunkSec 勒索软件的技术分析显示，该团体似乎自己将样本和源代码的部分上传至
VirusTotal，结果发现代码中存在大量冗余，其函数在不同执行路径被多次调用，而在典型的勒索软件中通常仅被调用一次。

除了自定义的勒索软件外，FunkSec 还提供其他工具，包括基于 Python 的分布式拒绝服务（DDoS）工具，使用 HTTP 或 UDP洪水方法，还有一个名为 funkgenerate 的密码生成与抓取工具，以及用于远程桌面管理的工具 JQRAXY_HVNC。

FunkSec坚持其黑客行为的角度，声称其主要目标是美国，因为该国支持以色列，尽管其宣称的85名受害者分布在美国、印度、意大利、巴西、以色列、西班牙、蒙古及其他多个国家。

FunkSec 代码中显示的人工智能援助迹象

FunkSec 以使用人工智能工具来帮助其网络犯罪活动而闻名，其中包括通过 Miniapps聊天机器人平台创建的专注于网络犯罪的自定义聊天机器人。该团体以前还在其网站上发布过 ChatGPT生成的关于其勒索软件能力的摘要，这显然是通过将勒索软件二进制文件上传至该服务生成的。

Check Point 提到，FunkSec 的公开可用工具代码中也可以找到 AI 使用的迹象，例如存在用“完美英语”撰写的详细注释，而 FunkSec成员的其他帖子则显示出有限的英语能力。这一点在该团体使用的 Rust 基于勒索软件源代码中同样成立。

FunkSec 经常更新其勒索软件产品，有时每隔几天就更新一次，