Hackers da China, Coreia do Norte, Irã e Rússia Estão Usando a IA do Google para Operações Cibernéticas

O Grupo de Inteligência de Ameaças do Google (GTIG) emitiu um aviso sobre cibercriminosos da China, Irã, Rússia e Coreia do Norte, além de mais de uma dúzia de outros países, que estão usando sua aplicação de inteligência artificial (IA), Gemini, para aumentar suas capacidades de hacking.

De acordo com o relatório TIG do Google, publicado na quarta-feira, hackers patrocinados pelo estado têm usado o chatbot Gemini para melhorar sua produtividade em espionagem cibernética, campanhas de phishing e outras atividades maliciosas.

O Google examinou a atividade do Gemini ligada a atores APT (Ameaça Persistente Avançada) conhecidos e descobriu que grupos APT de mais de vinte países têm usado grandes modelos de linguagem (LLMs) principalmente para pesquisa, reconhecimento de alvos, desenvolvimento de código malicioso e criação e localização de conteúdo como e-mails de phishing.

Em outras palavras, esses hackers parecem usar principalmente o Gemini como uma ferramenta de pesquisa para aprimorar suas operações, em vez de desenvolver métodos de hacking totalmente novos.

Atualmente, nenhum hacker conseguiu aproveitar o Gemini para desenvolver métodos de ciberataque totalmente novos.

“Embora a IA possa ser uma ferramenta útil para atores de ameaças, ainda não é o divisor de águas que às vezes é retratado. Embora vejamos atores de ameaças usando IA generativa para realizar tarefas comuns como solução de problemas, pesquisa e geração de conteúdo, não vemos indícios de que eles estejam desenvolvendo capacidades novas”, disse o Google em seu relatório.

O Google rastreou essa atividade para mais de dez grupos apoiados pelo Irã, mais de vinte grupos apoiados pela China e nove grupos apoiados pela Coreia do Norte.

Por exemplo, os atores de ameaças iranianos foram os maiores usuários do Gemini, usando-o para uma ampla gama de propósitos, incluindo pesquisa sobre organizações de defesa, pesquisa de vulnerabilidades e criação de conteúdo para campanhas.

Em particular, o grupo APT42 (que representou mais de 30% dos atores APT iranianos) focou na elaboração de campanhas de phishing para atingir agências governamentais e corporações, realizando reconhecimento sobre especialistas e organizações de defesa, e gerando conteúdo com temas de cibersegurança.

Os grupos APT chineses usaram principalmente o Gemini para realizar reconhecimento, script e desenvolvimento, solução de problemas de código e pesquisa sobre como obter acesso mais profundo a redes-alvo por meio de movimento lateral, escalonamento de privilégios, exfiltração de dados e evasão de detecção.

Hackers APT da Coreia do Norte foram observados usando o Gemini para apoiar múltiplas fases do ciclo de vida do ataque, incluindo pesquisa de infraestrutura potencial e provedores de hospedagem gratuitos, reconhecimento sobre organizações-alvo, desenvolvimento de payloads e ajuda com scripting malicioso e métodos de evasão.

“Vale ressaltar que os atores norte-coreanos também usaram o Gemini para redigir cartas de apresentação e pesquisar empregos—atividades que provavelmente apoiariam os esforços da Coreia do Norte para colocar trabalhadores de TI clandestinos em empresas ocidentais”, observou a empresa.

“Um grupo apoiado pela Coreia do Norte utilizou o Gemini para redigir cartas de apresentação e propostas para descrições de empregos, pesquisou salários médios para empregos específicos e perguntou sobre empregos no LinkedIn. O grupo também usou o Gemini para informações sobre intercâmbios de funcionários no exterior. Muitos dos tópicos seriam comuns para qualquer um que estivesse pesquisando e se candidatando a empregos.”

Enquanto isso, os atores APT russos demonstraram uso limitado do Gemini, principalmente para tarefas de codificação, como converter malware disponível publicamente em diferentes linguagens de programação e incorporar funções de criptografia em códigos existentes.

Eles podem ter evitado usar o Gemini por razões de segurança operacional, optando por ficar fora de plataformas controladas pelo Ocidente para evitar monitorar suas atividades ou usar ferramentas de IA feitas na Rússia.

O Google disse que o uso do Gemini pelo grupo de hackers russo tem sido relativamente limitado, possivelmente porque tentou evitar que plataformas ocidentais monitorassem suas atividades ou usassem ferramentas de IA feitas na Rússia.

O Google afirma que tem implementado salvaguardas para conter esse tipo de uso indevido, como desenvolver seus sistemas de IA com fortes medidas de segurança e interromper a atividade de atores de ameaças que abusaram do Gemini.

“Investigamos abusos de nossos produtos, serviços, usuários e plataformas, incluindo atividades cibernéticas maliciosas por atores de ameaças apoiados pelo governo, e trabalhamos com a aplicação da lei quando apropriado”, disse a empresa. “Além disso, nossos aprendizados ao combater atividades maliciosas são incorporados ao desenvolvimento de nossos produtos para melhorar a segurança e proteção de nossos modelos de IA.