Los hackers de China, Corea del Norte, Irán y Rusia están utilizando la IA de Google para operaciones cibernéticas

El Grupo de Inteligencia de Amenazas de Google (GTIG) ha emitido una advertencia sobre los cibercriminales de China, Irán, Rusia y Corea del Norte, y más de una docena de otros países están utilizando su aplicación de inteligencia artificial (IA), Gemini, para aumentar sus capacidades de hacking.

Según el informe TIG de Google, publicado el miércoles, los hackers patrocinados por el estado han estado utilizando el chatbot Gemini para mejorar su productividad en espionaje cibernético, campañas de phishing y otras actividades maliciosas.

Google examinó la actividad de Gemini vinculada a actores APT (Amenaza Persistente Avanzada) conocidos y descubrió que grupos APT de más de veinte países han estado utilizando modelos de lenguaje grande (LLMs) principalmente para investigación, reconocimiento de objetivos, desarrollo de código malicioso y creación y localización de contenido como correos electrónicos de phishing.

En otras palabras, estos hackers parecen utilizar principalmente Gemini como una herramienta de investigación para mejorar sus operaciones en lugar de desarrollar métodos de hacking completamente nuevos.

Actualmente, ningún hacker ha logrado aprovechar Gemini para desarrollar métodos de ciberataque completamente nuevos.

“Si bien la IA puede ser una herramienta útil para los actores de amenazas, aún no es el cambio de juego que a veces se retrata. Si bien vemos a los actores de amenazas utilizando IA generativa para realizar tareas comunes como solución de problemas, investigación y generación de contenido, no vemos indicios de que estén desarrollando capacidades novedosas”, dijo Google en su informe.

Google rastreó esta actividad a más de diez grupos respaldados por Irán, más de veinte grupos respaldados por China y nueve grupos respaldados por Corea del Norte.

Por ejemplo, los actores de amenazas iraníes fueron los mayores usuarios de Gemini, utilizándolo para una amplia gama de propósitos, incluida la investigación sobre organizaciones de defensa, investigación de vulnerabilidades y creación de contenido para campañas.

En particular, el grupo APT42 (que representaba más del 30% de los actores APT iraníes) se centró en elaborar campañas de phishing para atacar agencias gubernamentales y corporaciones, realizando reconocimiento sobre expertos y organizaciones de defensa, y generando contenido con temas de ciberseguridad.

Los grupos APT chinos utilizaron principalmente Gemini para realizar reconocimiento, escribir y desarrollar, solucionar problemas de código e investigar cómo obtener un acceso más profundo a las redes objetivo a través de movimiento lateral, escalada de privilegios, exfiltración de datos y evasión de detección.

Los hackers APT norcoreanos fueron observados utilizando Gemini para apoyar múltiples fases del ciclo de vida del ataque, incluyendo la investigación de infraestructura potencial y proveedores de alojamiento gratuitos, reconocimiento sobre organizaciones objetivo, desarrollo de cargas útiles y ayuda con scripting malicioso y métodos de evasión.

“Cabe destacar que los actores norcoreanos también utilizaron Gemini para redactar cartas de presentación e investigar empleos, actividades que probablemente apoyarían los esfuerzos de Corea del Norte para colocar trabajadores de TI clandestinos en empresas occidentales”, señaló la compañía.

“Un grupo respaldado por Corea del Norte utilizó Gemini para redactar cartas de presentación y propuestas para descripciones de trabajo, investigó salarios promedio para trabajos específicos y preguntó sobre empleos en LinkedIn. El grupo también utilizó Gemini para obtener información sobre intercambios de empleados en el extranjero. Muchos de los temas serían comunes para cualquiera que investigue y solicite empleos.”

Mientras tanto, los actores APT rusos demostraron un uso limitado de Gemini, principalmente para tareas de codificación, como convertir malware disponible públicamente en diferentes lenguajes de programación e incorporar funciones de cifrado en el código existente.

Pueden haber evitado usar Gemini por razones de seguridad operativa, optando por mantenerse fuera de plataformas controladas por Occidente para evitar el monitoreo de sus actividades o utilizar herramientas de IA fabricadas en Rusia.

Google dijo que el uso de Gemini por parte del grupo de hackers ruso ha sido relativamente limitado, posiblemente porque intentó prevenir que plataformas occidentales monitorearan sus actividades o utilizaran herramientas de IA fabricadas en Rusia.

Google dice que ha estado implementando salvaguardias para frenar dicho uso indebido, como desarrollar sus sistemas de IA con fuertes medidas de seguridad y interrumpir la actividad de los actores de amenazas que han mal utilizado Gemini.

“Investigamos el abuso de nuestros productos, servicios, usuarios y plataformas, incluidas las actividades cibernéticas maliciosas por parte de actores de amenazas respaldados por gobiernos, y trabajamos con las fuerzas del orden cuando es apropiado”, dijo la compañía. “Además, nuestros aprendizajes de contrarrestar actividades maliciosas se retroalimentan en nuestro desarrollo de productos para mejorar la seguridad y protección de nuestros modelos de IA.