Microsoft Project Ire autonomno otkrio novu LOTUSLITE varijantu — 1 od 72 vendora je reagirao
Microsoftov autonomni LLM agent Project Ire identificirao je dosad neviđenu varijantu zlonamjernog softvera LOTUSLITE — u trenutku otkrića samo jedan od 72 sigurnosna dobavljača ga je detektirao. Ire je radio isključivo statičkom reverznom analizom, bez ikakvog ljudskog unosa ili kontekstualnih metapodataka.
Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.
Microsoftov istraživački tim objavio je 12. lipnja 2026. nove detalje o projektu koji mijenja paradigmu otkrivanja naprednih prijetnji: Project Ire, autonomni agent za klasifikaciju zlonamjernog softvera koji radi isključivo statičkom reverznom analizom — bez ijednog ljudskog analitičara i bez ikakvih metapodataka o uzorku.
Autonomni agent koji reverzno analizira binarni kod
Project Ire koristi velike jezične modele u kombinaciji s industrijskim disasemblerima i alatima za binarnu analizu kako bi autonomno dekonstruirao nepoznate uzorke zlonamjernog softvera. Agent ne prima nikakve ulazne informacije o podrijetlu datoteke, meti napada ni prethodnoj klasifikaciji. Jedini ulaz je sama binarna datoteka; jedini izlaz je detaljan izvještaj o ponašanju koji pokriva instalacijske procedure, strukture C2 naredbi i tehnike zamagljivanja koda.
Ovaj pristup direktno adresira jedan od najvećih izazova suvremene kibernetičke sigurnosti: autori zlonamjernog softvera kontinuirano rotiraju pokazatelje kompromitacije (IOC-ove) kako bi izbjegli signaturne detekcije. Dok tradicionalni antivirusni sustavi traže poznate hash vrijednosti i IP adrese, Ire analizira ponašanje koda — i to mu omogućuje prepoznati varijantu čak i kad niti jedan javni IOC ne odgovara.
Što je LOTUSLITE i kako ga je Ire prepoznao?
LOTUSLITE je Windows DLL backdoor koji je Acronis dokumentirao i pripisao skupini Mustang Panda s umjerenom razinom pouzdanosti. Karakterizira ga arhitektura s odvojenim loaderom i DLL-om, HTTPS komunikacija prema C2 poslužitelju s prilagođenim binarnim protokolom, interaktivna ljuska implementirana putem cijevi te trajnost ostvarena upisom u Windows registar (HKCU Run ključ). Promet prema C2 poslužitelju maskiran je kao legitimna komunikacija s Googleovim i Microsoftovim servisima.
Dana 28. svibnja 2026. Project Ire analizirao je uzorak SHA-256 hash vrijednosti 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 — PE DLL datoteku veličine 253 KB. U tom trenutku samo 1 od 72 sigurnosnih dobavljača označio je uzorak kao maliciozan. Do 4. lipnja taj broj porastao je na 7 od 70 dobavljača — i dalje dramatično nizak postotak. Među onima koji nisu detektirali prijetnju nalaze se CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto Networks i ESET.
Ire je zaključio da se radi o LOTUSLITE varijanti na temelju ponašajnih potpisa — bez ikakvog preklapanja s poznatim IOC-ovima. Ključne razlike od prethodno dokumentiranog uzorka bile su:
- Instalacijski direktorij:
C:\ProgramData\SmartPrint\(naspramTechnology360NB) - Ključ u registru za trajnost:
DadaBank(naspramLite360) - C2 magic DWORD:
0xB2EBCFDF(naspram0x8899AABB)
Ove razlike — svjesno rotiranje od strane napadača — potpuno bi zaslijepile signaturne detekcijske sustave. Za Ire, koji analizira semantiku koda, a ne literalne vrijednosti, to nije prepreka.
Atribucija: oprez s ugrađenim stringovima
Unutar binarne datoteke pronađen je nezamagljeni string BelievemeIamMustang-Panda. Acronis je LOTUSLITE obitelj pripisao skupini Mustang Panda na temelju infrastrukture i taktika, tehnika i procedura. Međutim, Microsoftov istraživački tim eksplicitno se suzdržao od neovisne atribucije.
Razlog je jasan: ugrađeni atribucijski stringovi mogu biti namjerna dezinformacija — tzv. lažna zastava namijenjena upravo zavođenju automatiziranih sustava koji koriste LLM analizu. Ire je dizajniran da prepozna ovaj rizik: agent gradi lance dokazivosti temeljene isključivo na binarnom ponašanju, a ne na metapodacima ili stringovima koji mogu biti podmetnuti od strane napadača.
Implikacije za sigurnosnu industriju
Project Ire demonstrira praktičnu primjenu LLM-baziranog statičkog reverznog inženjeringa u produkcijskom sigurnosnom kontekstu. Nekoliko zaključaka je posebno važno.
Prvo, signaturna detekcija ima strukturni nedostatak kod varijanti unutar iste obitelji malwarea: actor samo mijenja nekoliko konstanti i prolazi kroz gotovo sve komercijalne EDR sustave. Uzorak koji je detektiralo samo 1,4% vendora pri prvom skeniranju to jasno ilustrira.
Drugo, ponašajna analiza skalira autonomno — Ire može procesirati tisuće uzoraka bez angažmana analitičara. Treće, projekt pokazuje da LLM agenti mogu producirati sudski upotrebljive lance dokazivanja, ne samo nestrukturirane napomene.
Project Ire nije zamjena za ljudske istraživače, već multiplikator kapaciteta. Dok analitičari obrađuju prioritetne incidente, Ire procesira dugi rep sumnjivih uzoraka koji bi inače čekali danima ili tjednima na analizu — a koji u međuvremenu ostaju aktivna prijetnja na sustavima žrtava.
Česta pitanja
- Što je Microsoft Project Ire?
- Project Ire je Microsoftov autonomni agent temeljen na velikim jezičnim modelima koji obavlja statičku reverznu analizu zlonamjernog softvera bez ikakvog ljudskog nadzora ili metapodataka o uzorku.
- Koliko je sigurnosnih dobavljača detektiralo LOTUSLITE varijantu pri prvom otkriću?
- Samo jedan od 72 sigurnosna dobavljača označio je uzorak kao maliciozan u trenutku prvog otkrivanja 28. svibnja 2026. Do 4. lipnja taj broj porastao je na svega 7 od 70 dobavljača.
- Kojoj skupini hakera se pripisuje LOTUSLITE?
- Tvrtka Acronis je LOTUSLITE obitelj pripisala skupini Mustang Panda s umjerenom razinom pouzdanosti, no Microsoft Research se suzdržao od neovisne atribucije jer ugrađeni atribucijski stringovi mogu biti namjerna dezinformacija.
📬 AI vijesti u tvoj inbox
Dnevni digest po tvojoj mjeri — biraš teme, izvore i ritam. Odjava jednim klikom.
Povezane vijesti
arXiv:2607.12200: okvir za mjerenje CBRN 'uplifta' kod frontier modela — potvrđen rizik samo u radiološkoj domeni
LangChain: zašto AI agentima treba vlastito izolirano računalo (sandbox)
GitHub: AI sigurnosne detekcije na pull requestovima i /security-review u Copilot appu