List of AI Tools Promoted by Threat Actors in Underground Forums and Their Capabilities
2025/11/06 CyberSecurityNews — サイバー・セキュリティを取り巻く状況は 2025年に劇的な変貌を遂げ、アンダーグラウンド・フォーラムで活動する脅威アクターにとって、人工知能 (AI) が基盤技術として台頭している。Google Threat Intelligence Group (GTIG) によると、違法 AI ツールのアンダーグラウンド市場は今年になって大きく成熟し、攻撃ライフサイクルの各ステップに対応するよう設計された、数多くの多機能ツールが提供されている。
この進化により、サイバー犯罪者たちのアクセスの方式と巧妙さは根本から変化し、技術に詳しくない脅威アクターの参入障壁は低下する一方で、経験豊富な犯罪者の能力は向上している。
アンダーグラウンド AI 市場は、2024年から 2025年にかけて爆発的な成長を遂げている。KELA のセキュリティ研究者たちの指摘によると、2024年のサイバー犯罪フォーラムにおける悪意の AI ツールに関する言及の件数は、前年比で 200% の増加を記録しており、この傾向は 2025年も加速し続けるという。
アンダーグラウンド・フォーラムで宣伝される AI ツール
この急増が示すのは、単に話題が増えただけではなく、サイバー犯罪者の活動方法に根本的な変化が生じたことである。英語とロシア語のアンダーグラウンド・フォーラムで宣伝されている著名なツールには、WormGPT/FraudGPT/Evil-GPT/Xanthorox AI/NYTHEON AI などがあり、それぞれがサイバー犯罪の各局面に合わせた独自機能を提供している。
WormGPT は、アンダーグラウンド・エコシステムにおいて、初期から広く認知されている悪意の AI ツールの一つである。GPT-J 言語モデルを基盤とし、2023年7月から提供されている WormGPT は、商用 AI システムに対する BlackHat 代替として販売され、BEC (Business Email Compromise) 攻撃やフィッシング・キャンペーンを支援するよう設計されている。
このツールは、スパム・フィルタを回避する説得力のあるフィッシング・メールの生成により高く評価され、その価格モデルは $100 (月額) から $5,000 のプライベート・サーバ向けまでと幅広い。
研究者たちが実証したのは、企業幹部を装う戦略的で説得力の高い電子メールを、WormGPT が作成できることだ。この機能により、高度な技術を持たない攻撃者からの脅威が大幅に高まった。
それに続き、2023年7月下旬に登場したのは、さらに野心的なプラットフォーム FraudGPT である。
複数のフォーラムや Telegram チャンネルで、”CanadianKingpin12″ というユーザーによって宣伝された FraudGPT は、$200 (月額) または $1,700 (年額) のサブスクリプション・ベースのアクセスを提供している。
このツールの提供者が主張するのは、フィッシング以外の機能として、悪意のコードの作成/検出困難なマルウェア生成/脆弱性の発見/侵害認証情報の探索/ハッキング・チュートリアルなどを提供していることだ。
このサブスクリプション・モデルは、正規の SaaS (Software as a Service) を模倣したものであり、段階的な価格体系を採用する一方で、画像生成/API アクセス/Discord 連携といった追加機能を高価格で提供している。
2025 年までに、アンダーグラウンド AI 市場は単純なジェイルブレイク・モデルを凌駕し、洗練された多機能プラットフォームへと進化すると予測される。Xanthorox AI は、次世代の悪意のツールを代表するものであり、WormGPT や EvilGPT 亜種に対するキラーを自称している。
2025年 Q1 に初めて検出された Xanthorox は、他との差別化を図るために、パブリック・クラウド・インフラに依存することなく、プライベート・サーバ上で完全に動作するモジュール式セルフホスト型アーキテクチャを採用している。
この設計により、検出と追跡のリスクを大幅に軽減すると同時に、フィッシング/ソーシャル・エンジニアリング/マルウェア作成/ディープフェイク生成/脆弱性探査のためのオールインワン・ソリューションを提供する。
その一方で NYTHEON AI は、複数の正規オープンソース・モデルを活用し、サイバー犯罪者に包括的な GenAI-as-a-Service 機能を提供する、洗練されたプラットフォームとして登場している。
ダークウェブ上で運用され、Telegram チャンネルやロシアのフォーラムで宣伝されている NYTHEON は、悪意のコード生成用の Nytheon Coder/画像認識用の Nytheon Vision/推論タスク用の Nytheon R1 といった、6つの専用モデルで構成される。
それら専用 AI モデルの統合により、NYTHEON は従来の単機能ツールと一線を画すものとなり、アンダーグラウンド AI サービスの高度化を実証している。
悪意の AI プラットフォームによるサイバー攻撃の急増
アンダーグラウンド広告の分析から明らかになったのは、悪意の AI プラットフォームに共通する顕著な共通点である。特に注目すべきは、アンダーグラウンド・フォーラムで宣伝される大半の注目ツールが、フィッシング・キャンペーン支援機能を強調している点である。
この普遍的な性質が示すのは、依然としてフィッシングが主要な攻撃ベクターとして優位にあり、2025年の企業にとって GenAI フィッシングが最大の脅威となることだ。
セキュリティ・アナリストは、GenAI 機能により誘発されたフィッシング攻撃が 1,265% も増加したことを確認している。AI が作成したフィッシングは、人間が作成したルアーと同等の効果を発揮しながら、時間とスキルを大幅に削減していることが示された。
フィッシング以外にも、アンダーグラウンド AI ツールとして宣伝されているのは、マルウェア開発/脆弱性探査/コード生成の技術サポートなどの幅広い機能である。
WormGPT/FraudGPT/MalwareGPT など複数のプラットフォームは、アンチウイルス対策を回避するために絶えず変化する、ポリモーフィック型マルウェアの生成機能を掲げている。
この機能は、脅威の高度化が著しく進んでいることを示す。先日に Google の研究者たちは、AI を用いて独自コードを再生成し、セキュリティ・ソフトウェアから隠れる5つの新たなマルウェア・ファミリーを特定した。
この種の違法な AI サービスの価格体系は、従来のサイバー犯罪ツールや正規ソフトウェア製品とほぼ同じである。アンダーグラウンドの開発者たちは、段階的な価格を採用するサブスクリプション・ベースのモデルを用いた上に、高価格帯の機能を追加している。
数多くのプラットフォームは広告入り無料版を提供し、潜在顧客は有料サブスクリプション購入前に機能を試用できる。このアプローチに、開発者が提供する技術サポートと定期アップデートが加わることで、正規ソフトウェア市場に驚くほど近いエコシステムを形成している。
1ライセンスが僅か $10 で販売される Evil-GPT などのツールに見られる参入障壁の低さは、高度とされるサイバー犯罪能力を、AI が民主化した様子を映し出している。
このアクセスの容易さにより、技術的な専門知識が低いとされる金銭目的の脅威アクターであっても、従来では長年の訓練を要した攻撃を、短時間で実行できるようになった。
FBI などのサイバー・セキュリティ機関は、AI がフィッシング詐欺の速度/規模/自動化を大幅に向上させる一方で、特定の受信者に合わせた極めて説得力のあるメッセージを、詐欺師が作成する環境にも寄与していると警告している。
Google TIG は、金銭目的の脅威アクターやアンダーグラウンド・コミュニティのアクターたちが、AI ツールを用いて攻撃活動を強化し続けると指摘している。
こうした悪意のアプリケーションへの容易なアクセスと、アンダーグラウンド・フォーラムにおける AI 議論の高まりを踏まえると、AI を活用する脅威活動が、サイバー犯罪者たちの間で一般化すると予測される。
2025年初頭までの AI を活用するフィッシング・キャンペーンは、世界で観測されたソーシャル・エンジニアリング活動の 80% 以上を占めたと報告されており、すでに変化が始まっていることを浮き彫りにしている。
アンダーグラウンドの AI マーケットプレイスが成熟を続けるにつれ、ユーザー組織は進化する脅威に直面しやすくなる。わずかなサブスクリプション料金を支払う者であれば、高度な攻撃機能を利用できる状況となるため、サイバー・セキュリティの課題は近い将来に根本から変化する。
アンダーグラウンド市場で AI ツールが急速に成熟し、攻撃の各工程に最適化された設計が施され、脅威が急拡大しているようです。WormGPT や FraudGPT のように、サブスクライブするだけで、誰もが高品質なフィッシング文面生成やマルウェア生成を行える時代に入ってきました。価格の低さと多機能化により参入障壁が下がり、技術に不慣れな脅威アクターであっても、短時間で高度な攻撃手法に到達しやすくなっていると、この記事は指摘しています。よろしければ、カテゴリ DarkWeb と、カテゴリ AI/ML を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.