Des hackers de Chine, de Corée du Nord, d'Iran et de Russie utilisent l'IA de Google pour des opérations cybernétiques

Le groupe d’intelligence sur les menaces de Google (GTIG) a émis un avertissement concernant des cybercriminels de Chine, d’Iran, de Russie et de Corée du Nord, ainsi que d’une douzaine d’autres pays, qui utilisent son application d’intelligence artificielle (IA), Gemini, pour renforcer leurs capacités de piratage.

Selon le rapport TIG de Google, publié mercredi, des hackers soutenus par l’État ont utilisé le chatbot Gemini pour améliorer leur productivité dans l’espionnage cybernétique, les campagnes de phishing et d’autres activités malveillantes.

Google a examiné l’activité de Gemini liée à des acteurs APT (menace persistante avancée) connus et a découvert que des groupes APT de plus de vingt pays utilisaient des modèles de langage de grande taille (LLM) principalement pour la recherche, la reconnaissance de cibles, le développement de code malveillant et la création et la localisation de contenu comme des e-mails de phishing.

En d’autres termes, ces hackers semblent principalement utiliser Gemini comme un outil de recherche pour améliorer leurs opérations plutôt que de développer de nouvelles méthodes de piratage.

Actuellement, aucun hacker n’a réussi à tirer parti de Gemini pour développer de nouvelles méthodes de cyberattaque.

« Bien que l’IA puisse être un outil utile pour les acteurs de la menace, elle n’est pas encore le changeur de jeu qu’elle est parfois décrite. Bien que nous voyions des acteurs de la menace utiliser l’IA générative pour effectuer des tâches courantes comme le dépannage, la recherche et la génération de contenu, nous ne voyons pas d’indications qu’ils développent des capacités nouvelles », a déclaré Google dans son rapport.

Google a suivi cette activité à plus de dix groupes soutenus par l’Iran, plus de vingt groupes soutenus par la Chine et neuf groupes soutenus par la Corée du Nord.

Par exemple, les acteurs de la menace iraniens étaient les plus grands utilisateurs de Gemini, l’utilisant pour un large éventail de buts, y compris la recherche sur les organisations de défense, la recherche de vulnérabilités et la création de contenu pour des campagnes.

En particulier, le groupe APT42 (qui représentait plus de 30 % des acteurs APT iraniens) s’est concentré sur l’élaboration de campagnes de phishing visant des agences gouvernementales et des entreprises, en menant des reconnaissances sur des experts et des organisations de défense, et en générant du contenu avec des thèmes de cybersécurité.

Les groupes APT chinois ont principalement utilisé Gemini pour effectuer des reconnaissances, rédiger et développer, dépanner du code, et rechercher comment obtenir un accès plus profond aux réseaux cibles par le biais de mouvements latéraux, d’escalade de privilèges, d’exfiltration de données et d’évasion de détection.

Les hackers APT nord-coréens ont été observés utilisant Gemini pour soutenir plusieurs phases du cycle de vie de l’attaque, y compris la recherche d’infrastructures potentielles et de fournisseurs d’hébergement gratuits, la reconnaissance d’organisations cibles, le développement de charges utiles, et l’aide à la rédaction malveillante et aux méthodes d’évasion.

« Il est à noter que les acteurs nord-coréens ont également utilisé Gemini pour rédiger des lettres de motivation et rechercher des emplois - des activités qui pourraient probablement soutenir les efforts de la Corée du Nord pour placer des travailleurs informatiques clandestins dans des entreprises occidentales », a noté l’entreprise.

« Un groupe soutenu par la Corée du Nord a utilisé Gemini pour rédiger des lettres de motivation et des propositions pour des descriptions de poste, a recherché des salaires moyens pour des emplois spécifiques, et a posé des questions sur des emplois sur LinkedIn. Le groupe a également utilisé Gemini pour obtenir des informations sur les échanges d’employés à l’étranger. Beaucoup des sujets seraient communs pour quiconque recherchant et postulant à des emplois. »

Pendant ce temps, les acteurs APT russes ont démontré une utilisation limitée de Gemini, principalement pour des tâches de codage telles que la conversion de logiciels malveillants disponibles publiquement en différents langages de programmation et l’incorporation de fonctions de cryptage dans du code existant.

Ils ont peut-être évité d’utiliser Gemini pour des raisons de sécurité opérationnelle, choisissant de rester à l’écart des plateformes contrôlées par l’Occident pour éviter de surveiller leurs activités ou d’utiliser des outils d’IA fabriqués en Russie.

Google a déclaré que l’utilisation de Gemini par le groupe de hackers russes a été relativement limitée, probablement parce qu’il a tenté d’empêcher les plateformes occidentales de surveiller ses activités ou d’utiliser des outils d’IA fabriqués en Russie.

Google dit qu’il a mis en œuvre des mesures de protection pour freiner de tels abus, comme le développement de ses systèmes d’IA avec de fortes mesures de sécurité et la perturbation de l’activité des acteurs de la menace qui ont abusé de Gemini.

« Nous enquêtons sur les abus de nos produits, services, utilisateurs et plateformes, y compris les activités cybernétiques malveillantes par des acteurs de la menace soutenus par le gouvernement, et travaillons avec les forces de l’ordre lorsque cela est approprié », a déclaré l’entreprise. « De plus, nos enseignements tirés de la lutte contre les activités malveillantes sont intégrés dans notre développement de produits pour améliorer la sécurité et la sûreté de nos modèles d’IA. »