O grupo de ameaças cibernéticas TA547 foi observado direcionando organizações alemãs com o malware conhecido como Rhadamanthys. De acordo com um relatório recente, essa é a primeira vez que esse grupo de ameaças está associado a essa atividade.

O que intriga os pesquisadores é o uso aparente de um script PowerShell, provavelmente gerado por modelos de linguagem grandes (LLMs) como ChatGPT, Gemini ou CoPilot. Impersonando a conhecida empresa de varejo alemã Metro, o TA547 enviou e-mails relacionados a faturas para várias organizações em diferentes setores na Alemanha, contendo um arquivo ZIP protegido por senha que continha um arquivo LNK.

Ao ser executado, o arquivo LNK acionou o PowerShell para iniciar um script remoto, carregando e executando o malware Rhadamanthys diretamente na memória do sistema, evitando a necessidade de escrever no disco.

O script PowerShell exibiu características incomuns em códigos de ameaças típicas ou de programadores legítimos, indicando possível envolvimento de LLMs. Essa campanha demonstra a mudança estratégica do TA547, incluindo a adoção de LNKs compactados e a introdução do Rhadamanthys. Além disso, destaca como os atores de ameaças utilizam conteúdo gerado por LLMs em seus empreendimentos maliciosos.