Yapay zekâ teknolojileri, doğru yönlendirildiğinde kurumların savunma kapasitesini güçlendiren, operasyonel süreçleri hızlandıran ve güvenlik ekiplerinin üzerine binen yükü azaltan bir dönüşüm sağlıyor. Ancak bu gücün etik sınırlar ve güvenlik kontrolleri dışında bırakılmış versiyonları, hızla büyüyen bir başka alan olan AI destekli siber suç ekosistemini besliyor. “dark LLM” olarak nitelendirilen modellerin, tehdit aktörlerine sunduğu yıkıcı potansiyeli gözler önüne seriyor. Bu yazımızda Palo Alto Networks’ün Unit 42 araştırma ekibinin son raporu ve çeşitli güvenlik kaynaklarının yayınladığı bulguları bulguları sizin için inceledik.

Bu modellerin en çok öne çıkan iki örneği WormGPT 4 ve KawaiiGPT. İster abonelikle satılan bir siber suç hizmeti olsun, ister GitHub üzerinden herkesin erişimine açılmış ücretsiz bir model… Bu araçlar, siber saldırı zincirinin tüm aşamalarını otomatikleştirerek, saldırganların ihtiyaç duyduğu “teknik uzmanlığı” neredeyse tamamen ortadan kaldırıyor.

Dark LLM Nedir?

Geleneksel LLM’ler güvenlik ve etik filtrelerle eğitilirken, dark LLM’ler bu bariyerlerin özellikle kaldırıldığı, saldırı amaçlı içerik üretmek için tasarlanmış veya modifiye edilmiş modellerdir.
Bu modeller:

  • Kimlik avı (phishing) ve kurumsal e-posta dolandırıcılığı (BEC) metinleri üretir,

  • Polimorfik ve malware yazılımları oluşturur,

  • Sızma, keşif, erişim genişletme (lateral movement) ve veri sızdırma gibi adımları otomatikleştirir,

  • Telegram ve dark-web forumlarında özel aboneliklerle veya ücretsiz olarak dağıtılır.

Yani yalnızca kod üreten bir araç olmaktan çok, baştan sona bir saldırı kampanyası asistanı olarak çalışırlar.

WormGPT 4: Suç Ekonomisine Açılmış Yeni Bir “AI-as-a-Service” Kapısı

WormGPT ilk kez 2023’te illegal forumlarda görülse de, esas dönüşümünü 2025 itibarıyla “WormGPT 4” markasıyla yaptı. Temelde şu özelliklere sahip:

1. Profesyonel Phishing ve BEC Üretimi

WormGPT 4, CEO veya finans müdürü tonu taşıyan, dilbilgisi kusursuz, bağlama tam oturan çok ikna edici e-postalar üretebiliyor. Artık klasik phishing’i ele veren “kötü İngilizce” ortadan kalkmış durumda.
Bu nedenle e-posta filtreleri kadar insan gözü de çok daha kolay aldatılabiliyor.

2. Kötü Amaçlı Kod Üretimi

Unit 42’nin testlerinde, sadece tek bir prompt ile Windows ortamındaki tüm PDF dosyalarını AES-256 ile şifreleyen, gerekirse Tor üzerinden veri sızdıran tam işlevsel bir PowerShell fidye yazılımı scripti oluşturduğu gösterildi.

Ayrıca araç:

  • Keylogger

  • Data exfiltration script

  • Reverse shell

  • C2 iletişim modülleri

gibi saldırı öğeleri de üretebiliyor.

3. Siber Saldırının Ticarileşmesi

WormGPT 4, açık şekilde bir “AI-destekli siber suç hizmeti” (Crime-as-a-Service) olarak tanıtılıyor:

  • Aylık: 50$

  • Yıllık: 175$

  • Ömür boyu erişim + kaynak kodu: 220$

Bu fiyatların düşüklüğü, model geliştirme maliyetine kıyasla saldırganlara olağanüstü erişilebilirlik sunuyor.

4. Topluluk ve Dağıtım Kanalları

Telegram kanalında yüzlerce aktif kullanıcı bulunuyor. Forumlarda sık sık güncellemeler, kullanıcı yorumları ve “en iyi saldırı prompt’ları” paylaşılıyor.
Bu, saldırgan ekosisteminin artık yarı kurumsal bir yapıya büründüğünün kanıtı.

KawaiiGPT: Siber Suçun Demokratikleşmesini Sağlayan Ücretsiz Model

WormGPT 4 bir abonelik modeli sunarken, KawaiiGPT çok daha tehlikeli başka bir yöne gidiyor: ücretsiz, açık kaynak, kolay kurulumlu ve hemen hemen herkesin erişebileceği bir model.

1. 5 Dakikada Kurulabilen Saldırı Platformu

GitHub üzerinden indirilebiliyor ve çoğu Linux ortamında beş dakika içerisinde çalışır hâle geliyor.
Bu kolaylık, daha önce zararlı yazılım üretme kapasitesi olmayan geniş bir kitleyi “potansiyel saldırgan” hâline getiriyor.

2. Sosyal Mühendislik İçin Tehlikeli Derecede Yetenekli

Model “Owo! Here you go 😀” gibi sevimli bir persona ile başlasa da, çıktıları son derece agresif ve profesyonel:

  • Bankadan geliyormuş gibi görünen spear-phishing e-postaları,

  • Sahte link yönlendirmeleri,

  • Kişisel veri hırsızlığı amaçlı mesaj taslakları.

3. Lateral Movement ve Erişim Genişletme Otomasyonu

Araştırmacıların testlerinde, yalnızca bir satır prompt ile:

  • SSH üzerinden ağa yayılma,

  • Paramiko ile uzak sistemlere bağlanma,

  • Yetki yükseltme,

  • Arka kapı ekleme,

  • Dosya toplama ve diğer sistemlere sıçrama

gibi aşamaların tümünü otomatikleştiren Python kodları ürettiği görüldü.

4. Hazır Veri Sızdırma Araçları

Model, EML e-posta dosyalarını arayıp bulan, paketleyen ve saldırganın e-posta adresine gönderen script’ler üretebiliyor.

Bu kod:

  • Meşru Python kütüphanelerini kullanıyor (ör. smtplib),

  • Bu yüzden trafikte fark edilmesi çok daha zor oluyor.

5. Kitle Etkisi

Telegram kanalında 180+ aktif kullanıcı, GitHub’da 500’den fazla kayıtlı kullanıcı bulunuyor.
Bu kitlesellik, dark LLM’lerin gelecekte çok daha yaygın kullanımının sinyalini veriyor.

Tehdit Modeli Artık Farklı: Beceri Değil, Ölçek Tehlikesi

Bugünün tehdidi, “uzman olmayan ancak güçlü bir dark LLM’e erişimi olan saldırgan”.

Yeni gerçeklik şöyle özetlenebilir:

  • Beceri bariyeri ortadan kalktı.

  • Hazırlık süreleri dakikalara indi.

  • Saldırı kalitesi profesyonelleşti.

  • Siber suç kitleselleşiyor.

  • Artık her saldırı AI tarafından otomatikleştirilebilir.

Phishing e-postalarında kötü İngilizce görmek, kötü yazılmış kodları fark etmek gibi eski “uyarı işaretleri” artık yok.

Bu ne anlama geliyor?

AI destekli saldırıların artması, kurumların güvenlik stratejilerinin de hızla evrilmesini gerektiriyor.

1. AI-destekli Saldırılara Karşı Farkındalık

Kurumlar artık teknik çözümlerin yanı sıra; çalışan farkındalığına, sosyal mühendislik eğitimlerine ve AI tabanlı phishing saldırılarına yönelik gerçekçi simülasyonlara ihtiyaç duyuyor.

2. Davranışsal Güvenlik Odaklı Yaklaşım

İçerik filtrelerine güvenmek yeterli değil. Artık:

  • Anomali tespiti,

  • Kullanıcı davranışı analizi,

  • Sürekli izleme,

  • Zero-trust ilkeleri

gibi daha gelişmiş savunma stratejileri gerekiyor.

3. AI Güvenliği Danışmanlığı

Kurumsal müşteriler için:

  • Güvenli LLM kullanımı,

  • Model erişim kontrolleri,

  • Prompt güvenliği,

  • AI kullanım politika ve prosedürleri

gibi alanlarda rehberlik sunmak kritik önem taşıyor.

4. Tehdit Zekâsı ve Proaktif Savunma

Dark LLM trendlerini takip eden, yeni modelleri analiz eden ve saldırı tekniklerini önceden tespit eden bir tehdit istihbaratı yaklaşımı artık zorunluluk.

Yeni Bir Dönemin Eşiğindeyiz

WormGPT 4 ve KawaiiGPT, AI destekli siber suçun ölçek, hız ve erişilebilirlik açısından nasıl dönüştüğünü gösteren iki sembol.

Bugün bir saldırı kampanyası; yalnızca dakikalar içinde:

  • profesyonel bir phishing e-postası,

  • tam işlevsel bir zararlı yazılım,

  • veri sızdırma mekanizması,

  • fidye notu ve ödeme talimatı

ile birlikte tek bir dark LLM tarafından üretilebiliyor.

Bu yeni ekosistemde kurumların sistemleriyle birlikte güvenlik anlayışlarını da dönüştürmesi gerekiyor. Quasys olarak, müşterilerimizi bu dönüşüme hazırlamak ve güvenli, etik ve sürdürülebilir yapay zekâ kullanımını teşvik etmek adına alanının en iyileriyle çalışmalarımızı sürdürüyor ve müşterilerimize üst düzey bir danışmanlık verebilmek adına bu alandaki gelişmeleri yakınen takip ediyoruz. Kurumunuzu AI-Ready bir güvenlik mimarisine taşımak için Quasys danışmanlarına info@quasys.com.tr üzerinden her zaman ulaşabilirsiniz.

Yorumlar kapalı.