Специалисты Palo Alto Networks Unit 42 выявили, что кастомные ИИ-инструменты WORMGPT и KawaiiGPT эксплуатируют киберпреступники для разработки вредоносных программ и фишинговых кампаний, демонстрируя способность мгновенно производить полноценные вымогатели.​

WORMGPT, позиционируемая как «темная копия ChatGPT», генерирует PowerShell-код для поиска и шифрования файлов, например всех PDF на Windows-машинах, применяя AES-256. Модель автоматически интегрирует функцию выгрузки данных через Tor и формирует запугивающее уведомление о выкупе с обращением «Привет, марионетка», ссылкой на «военное» шифрование и дедлайном в 72 часа.​

Исследователи Unit 42 отметили мастерство модели в создании убедительных текстов для BEC и фишинга, подчеркивая главное следствие — упрощение доступа к киберпреступности для новичков с интернетом и умением формулировать промпты.

KawaiiGPT аналогично генерирует сообщения для целевого фишинга с фальшивыми доменами, Python-скрипты на paramiko для SSH-доступа и команд, сбор/эксфильтрацию файлов, а также персонализированные требования выкупа с гайдами по оплате.​

Каждый инструмент имеет Telegram-канал для обмена тактиками среди злоумышленников. Unit 42 заключили: злоумышленники реально задействуют такие вредоносные LLM в атаках, что подтверждает Anthropic — их Claude эксплуатируют китайские хакеры для 80-90% автоматизации шпионажа.