Surprising - NOT! We knew this was bound to happen, or should we indicate that Cyber Hackers just want to be more productive - like everyone else, and AI is a good place to explore!

Unit 42 @ Palo Alto Networks reports how underground hacking forums advertise and sell custom, jail broken, and open-source AI hacking tools. Cyber bad guys are accessing sophisticated underground markets for custom LLMs (many subscription-based) designed to assist with lower-level hacking tasks. https://cyberscoop.com/malicious-llm-tools-cybercrime-wormgpt-kawaiigpt/

#AI #CyberSecurity #CyberCrime #Darkweb #CyberHackers #Hackers #CyberAttacks #KawaiiGPT #WormGPT #Unit42 #CustomLLM #JailBreakLLM #Security #Productivity

🎯 AI
===================

Executive summary: Unit 42 documents a class of purpose-built malicious LLMs, notably WormGPT and KawaiiGPT, which are intentionally stripped of ethical constraints and marketed to criminal customers. These models combine high linguistic fidelity with code-generation fluency to accelerate social engineering and malware development.

Technical details:
• Models are reported to be either trained without safety layers or fine‑tuned to bypass standard content filters. Marketing occurs in underground forums and Telegram channels.
• Core advertised capabilities include generation of tailored phishing emails, creation of polymorphic malware snippets, and orchestration/automation of reconnaissance workflows.
• The paired strengths of linguistic precision and programmatic code output enable rapid production of convincing lures and working payloads with minimal human expertise.

Analysis:
• The observed effect is a compression of the attacker development lifecycle: tasks that previously required multiple specialists (social engineering writers, malware coders, recon analysts) can be largely automated by a single model-driven workflow.
• This drives a “scale over skill” dynamic: less-skilled actors can execute higher-quality campaigns at volume, increasing potential for credential harvesting, data exfiltration, and follow-on intrusion activities.

Detection (as reported):
• Unit 42 positions these models as offensive tools rather than simple jailbroken public models; the article does not publish IoCs or sample payloads but highlights distribution via Telegram and underground forums.

Mitigation (as reported):
• Unit 42 offers AI Security Assessment and Incident Response services to help organizations evaluate risk and respond to compromises; readers are directed to Unit 42 Incident Response when urgent matters arise.

Limitations and open questions:
• The report does not include sample model outputs, hashes, or specific infrastructure indicators, limiting immediate operational detection tuning.
• The broader prevalence and integration of such models into larger criminal toolchains remain areas noted for further monitoring.

🔹 LLM #AIsecurity #malware #phishing #Unit42

🔗 Source: https://unit42.paloaltonetworks.com/dilemma-of-ai-malicious-llms/

Another day, another #malware attack on #smartphones. Researchers at #Unit42, ,the threat intelligence arm of #PaloAltoNetworks , have revealed a sophisticated #spyware known as “Landfall” targeting #SamsungGalaxy phones. The researchers say this campaign leveraged a zero-day exploit in Samsung #Android software to steal a raft of personal data, and it was active for almost a year. Thankfully, the underlying #vulnerability has now been patched
#privacy #security

https://arstechnica.com/gadgets/2025/11/commercial-spyware-landfall-ran-rampant-on-samsung-phones-for-almost-a-year/

LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices // Nouveau logiciel espion Android de niveau commercial dans une chaîne d’exploitation visant les appareils Samsung

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

@cyberfr

#Unit42 #Landfall #Android

Rok na celowniku. Oprogramowanie „Landfall” przez rok szpiegowało telefony Samsunga

To brzmi jak scenariusz filmu szpiegowskiego, ale wydarzyło się naprawdę. Analitycy z Unit 42, specjalnej jednostki ds. cyberbezpieczeństwa w Palo Alto Networks, ujawnili istnienie wysoce zaawansowanego oprogramowania szpiegowskiego o nazwie „Landfall”.

Atak był wymierzony w smartfony Samsung Galaxy i był aktywny przez prawie rok, zanim luka została załatana. Oprogramowanie pozwalało na kradzież praktycznie wszystkich danych z telefonu, a także na zdalne aktywowanie kamery i mikrofonu w celu szpiegowania użytkownika.

Atak typu zero-click, czyli broń w obrazku

Najbardziej niepokojący w ataku „Landfall” jest jego mechanizm. Był to atak typu zero-click, co oznacza, że do infekcji nie była wymagana absolutnie żadna interakcja ze strony użytkownika – nie trzeba było klikać w żaden link ani niczego instalować.

Jak to działało?

• Dostawa: atakujący przesyłali ofierze (prawdopodobnie przez komunikator typu WhatsApp) specjalnie spreparowany plik graficzny.
• Przynęta: „bronią” nie był zwykły JPG, lecz zmodyfikowany plik DNG – jest to format typu „raw” (surowy obraz) bazujący na formacie TIFF.
• Pułapka: wewnątrz tego pliku DNG hakerzy osadzili ukryte archiwum ZIP zawierające złośliwy kod.
• Luka: problem leżał w bibliotece przetwarzania obrazu w oprogramowaniu Samsunga.

Gdy telefon próbował przetworzyć ten plik (np. by wyświetlić jego miniaturkę w galerii lub komunikatorze), system operacyjny rozpakowywał ukryty plik ZIP i uruchamiał złośliwe oprogramowanie szpiegowskie.

Po zainfekowaniu, „Landfall” modyfikował polityki SELinux (mechanizm bezpieczeństwa w Androidzie), aby zakopać się głęboko w systemie, uzyskać szerokie uprawnienia i uniknąć wykrycia.

Kto był celem?

Analitycy z Unit 42 uspokajają, że nie był to atak masowy. Wszystko wskazuje na to, że „Landfall” był używany do precyzyjnie wymierzonych działań szpiegowskich, głównie na Bliskim Wschodzie (wskazano na Irak, Iran, Turcję i Maroko).

W kodzie złośliwego oprogramowania znaleziono bezpośrednie odniesienia do konkretnych modeli Samsunga, w tym Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 oraz Galaxy Z Fold 4. Chociaż nie zidentyfikowano autorów ataku, jego złożoność i metody działania przypominają narzędzia tworzone przez komercyjne firmy zajmujące się cyberwywiadem, takie jak osławiona NSO Group (twórcy Pegasusa).

Sprawdź, czy jesteś bezpieczny

Luka (zarejestrowana jako CVE-2025-21042) była obecna w oprogramowaniu Samsunga opartym na Androidzie od 13 do 15. Producent wydał krytyczną poprawkę bezpieczeństwa w kwietniu 2025 roku.

Analitycy z Unit 42 wstrzymywali się z publikacją szczegółów ataku do teraz, aby dać użytkownikom czas na aktualizację. Teraz, gdy metoda jest publiczna, kluczowe jest, aby każdy posiadacz telefonu Samsung upewnił się, że ma zainstalowane wszystkie aktualizacje systemu, a w szczególności łatkę bezpieczeństwa z kwietnia 2025 lub nowszą.

#Android #CVE202521042 #DNG #GalaxyS23 #GalaxyS24_ #Landfall #lukaBezpieczeństwa #news #oprogramowanieSzpiegowskie #Samsung #spyware #Unit42 #zeroClick

The cyber threat landscape is shifting fast. New research from Unit 42 highlights attackers weaponizing open-source tools, abusing AI coding assistants, monetizing victim bandwidth and expanding global smishing campaigns, alongside continued nation-state espionage activity.

My latest blog breaks down the top findings from the last quarter and explains what security teams should focus on next.

Read the full analysis here: https://vasenius.fi/latest-unit-42-threat-intelligence-findings-from-last-quarter/

#CyberSecurity #Unit42 #ThreatIntelligence

Unit 42 links Airstalk — an MDM-abusing backdoor — to a suspected nation-state supply-chain campaign. Using AirWatch/Workspace ONE APIs for covert C2 and blob exfiltration, it targets browser artifacts and screenshots; some samples show likely-stolen signing certs.
How are you tightening vendor MDM permissions? Comment & follow TechNadu for updates.

#Airstalk #MDM #SupplyChain #Unit42 #CyberSecurity #Infosec #TechNadu #ThreatIntel #EndpointSecurity

Dylanisms | Podcast Mixes Celebrating Bob Dylan Cover Versions

https://monocledalchemist.com/2025/10/21/dylanisms-podcast-mixes-celebrating-bob-dylan-cover-versions-19/