Gli hacker di Cina, Corea del Nord, Iran e Russia stanno usando l'IA di Google per operazioni informatiche

Il Gruppo di Intelligenza sulle Minacce di Google (GTIG) ha emesso un avviso riguardo ai criminali informatici provenienti da Cina, Iran, Russia e Corea del Nord, e oltre una dozzina di altri paesi stanno utilizzando la sua applicazione di intelligenza artificiale (IA), Gemini, per potenziare le loro capacità di hacking.

Secondo il rapporto TIG di Google, pubblicato mercoledì, gli hacker sponsorizzati dallo stato hanno utilizzato il chatbot Gemini per migliorare la loro produttività nell’industria della cyber spionaggio, nelle campagne di phishing e in altre attività dannose.

Google ha esaminato l’attività di Gemini collegata a noti attori APT (Advanced Persistent Threat) e ha scoperto che i gruppi APT provenienti da oltre venti paesi hanno utilizzato modelli di linguaggio di grandi dimensioni (LLM) principalmente per la ricerca, la ricognizione dei target, lo sviluppo di codice dannoso e la creazione e localizzazione di contenuti come email di phishing.

In altre parole, questi hacker sembrano utilizzare principalmente Gemini come strumento di ricerca per migliorare le loro operazioni piuttosto che sviluppare metodi di hacking completamente nuovi.

Attualmente, nessun hacker è riuscito a sfruttare Gemini per sviluppare metodi di attacco informatico completamente nuovi.

“Sebbene l’IA possa essere uno strumento utile per gli attori delle minacce, non è ancora il cambiamento di gioco che a volte viene descritto. Sebbene vediamo attori delle minacce utilizzare l’IA generativa per svolgere compiti comuni come risoluzione dei problemi, ricerca e generazione di contenuti, non vediamo indicazioni che stiano sviluppando capacità nuove,” ha dichiarato Google nel suo rapporto.

Google ha tracciato questa attività a più di dieci gruppi sostenuti dall’Iran, più di venti gruppi sostenuti dalla Cina e nove gruppi sostenuti dalla Corea del Nord.

Ad esempio, gli attori delle minacce iraniane sono stati i maggiori utilizzatori di Gemini, utilizzandolo per una vasta gamma di scopi, tra cui la ricerca su organizzazioni di difesa, la ricerca di vulnerabilità e la creazione di contenuti per campagne.

In particolare, il gruppo APT42 (che rappresentava oltre il 30% degli attori APT iraniani) si è concentrato sulla creazione di campagne di phishing per colpire agenzie governative e aziende, conducendo ricognizioni su esperti e organizzazioni della difesa e generando contenuti con temi di cybersecurity.

I gruppi APT cinesi hanno utilizzato principalmente Gemini per condurre ricognizioni, scrivere e sviluppare, risolvere problemi di codice e ricercare come ottenere un accesso più profondo alle reti target attraverso movimenti laterali, escalation dei privilegi, esfiltrazione dei dati e evasione della rilevazione.

Gli hacker APT nordcoreani sono stati osservati utilizzare Gemini per supportare più fasi del ciclo di vita dell’attacco, inclusa la ricerca di potenziali infrastrutture e fornitori di hosting gratuiti, ricognizione su organizzazioni target, sviluppo di payload e aiuto con scripting dannoso e metodi di evasione.

“È interessante notare che gli attori nordcoreani hanno anche utilizzato Gemini per redigere lettere di presentazione e ricercare lavori—attività che probabilmente supporterebbero gli sforzi della Corea del Nord per collocare lavoratori IT clandestini in aziende occidentali,” ha notato l’azienda.

“Un gruppo sostenuto dalla Corea del Nord ha utilizzato Gemini per redigere lettere di presentazione e proposte per descrizioni di lavoro, ha ricercato stipendi medi per lavori specifici e ha chiesto informazioni su lavori su LinkedIn. Il gruppo ha anche utilizzato Gemini per informazioni sugli scambi di dipendenti all’estero. Molti degli argomenti sarebbero comuni per chiunque stia ricercando e facendo domanda per lavori.”

Nel frattempo, gli attori APT russi hanno dimostrato un uso limitato di Gemini, principalmente per compiti di codifica come la conversione di malware pubblicamente disponibili in diversi linguaggi di programmazione e l’incorporazione di funzioni di crittografia nel codice esistente.

Potrebbero aver evitato di utilizzare Gemini per motivi di sicurezza operativa, optando per rimanere al di fuori delle piattaforme controllate dall’Occidente per evitare di monitorare le loro attività o utilizzare strumenti di IA prodotti in Russia.

Google ha dichiarato che l’uso di Gemini da parte del gruppo di hacker russi è stato relativamente limitato, probabilmente perché ha tentato di prevenire il monitoraggio delle sue attività da parte delle piattaforme occidentali o di utilizzare strumenti di IA prodotti in Russia.

Google afferma di aver implementato misure di sicurezza per limitare tale abuso, come lo sviluppo dei suoi sistemi di IA con forti misure di sicurezza e l’interruzione dell’attività degli attori delle minacce che hanno abusato di Gemini.

“Indaghiamo sugli abusi dei nostri prodotti, servizi, utenti e piattaforme, comprese le attività informatiche dannose da parte di attori delle minacce sostenuti dal governo, e collaboriamo con le forze dell’ordine quando appropriato,” ha dichiarato l’azienda. “Inoltre, le nostre esperienze nel contrastare attività dannose vengono reintegrate nello sviluppo dei nostri prodotti per migliorare la sicurezza e la protezione dei nostri modelli di IA.”