Se han observado más de 57 actores de amenaza distintos con lazos con China, Irán, Corea del Norte y Rusia utilizando tecnología de inteligencia artificial (IA) impulsada por Google para habilitar aún más sus operaciones cibernéticas e información maliciosas.
«Los actores de amenaza están experimentando con Gemini para permitir sus operaciones, encontrando ganancias de productividad pero aún no desarrollando capacidades novedosas», dijo Google Threat Intelligence Group (GTIG) en un nuevo informe. «En la actualidad, utilizan principalmente IA para la investigación, el código de solución de problemas y la creación y localización de contenido».
Los atacantes respaldados por el gobierno, también conocidos como grupos avanzados de amenaza persistente (APT), han tratado de utilizar sus herramientas para reforzar múltiples fases del ciclo de ataque, incluidas las tareas de codificación y secuencia de comandos, el desarrollo de la carga útil, la recopilación de información sobre posibles objetivos, investigando vulnerabilidades conocidas públicamente , y habilitando actividades posteriores a la compromiso, como la evasión de defensa.
Al describir a los actores apt iraníes como los «usuarios más pesados de Géminis», Gtig dijo que el equipo de piratería conocido como APT42, que representaba más del 30% del uso de Gemini por los piratas informáticos del país, aprovechó sus herramientas para crear campañas de phishing, realizando reconocimiento en defensa Expertos y organizaciones, y generando contenido con temas de ciberseguridad.
APT42, que se superpone con los clústeres rastreados como encantadores gatitos y tormenta de arena de menta, tiene un historial de orquestar esquemas de ingeniería social mejoradas para infiltrarse en redes objetivo y entornos en la nube. En mayo pasado, Mandiant reveló la orientación del actor de amenaza de las ONG occidentales y del Medio Oriente, organizaciones de medios, academia, servicios legales y activistas al hacerse pasar por periodistas y organizadores de eventos.
También se ha encontrado que el colectivo adversario investiga sistemas militares y de armas, estudia tendencias estratégicas en la industria de defensa de China y obtiene una mejor comprensión de los sistemas aeroespaciales fabricados en Estados Unidos.
Se encontraron grupos de APT chinos que buscaban a Gemini formas de realizar el reconocimiento, el código de resolución de problemas y los métodos para enterrar profundamente en las redes de víctimas a través de técnicas como el movimiento lateral, la escalada de privilegios, la exfiltración de datos y la evasión de detección.
Mientras que los actores apt rusos limitaron su uso de Gemini para convertir el malware disponible públicamente en otro lenguaje de codificación y agregar capas de cifrado al código existente, los actores norcoreanos emplearon el servicio de IA de Google para investigar infraestructura y proveedores de alojamiento.
«Según los actores norcoreanos, también usaron Géminis para redactar cartas de presentación y trabajos de investigación, actividades que probablemente apoyarían los esfuerzos de Corea del Norte para colocar a los trabajadores de TI clandestinos en las empresas occidentales», señaló Gtig.
«Un grupo respaldado por Corea del Norte utilizó Gemini para redactar cartas de presentación y propuestas para descripciones de trabajo, investigados salarios promedio para trabajos específicos y preguntó sobre trabajos en LinkedIn. El grupo también usó Gemini para obtener información sobre intercambios de empleados en el extranjero. Muchos de los temas lo harían Sea común para cualquier persona que investigue y solicite trabajo «.
El gigante de la tecnología señaló además que ha visto publicaciones subterráneas en el foro que anuncian versiones nefastos de modelos de idiomas grandes (LLM) que son capaces de generar respuestas sin restricciones éticas o de seguridad.
Los ejemplos de tales herramientas incluyen WORMGPT, WOLFGPT, EscapeGPT, FraudGPT y GhostGPT, que están explícitamente diseñados para crear correos electrónicos de phishing personalizados, generar plantillas para ataques de compromiso de correo electrónico comercial (BEC) y diseñar sitios web fraudulentos.
Los intentos de mal uso de Géminis también han girado en torno a la investigación sobre eventos tópicos y la creación de contenido, la traducción y la localización como parte de las operaciones de influencia montadas por Irán, China y Rusia. En total, los grupos aptos de más de 20 países usaron Géminis.
Google, que dijo que está «desplegando activamente las defensas» para contrarrestar los ataques inyectados de inmediato, ha enfatizado aún más la necesidad de una mayor colaboración público-privada para elevar las defensas cibernéticas e interrumpir las amenazas, afirmando «la industria estadounidense y el gobierno necesitan trabajar juntos para apoyar a nuestros nacionales y nacionales y Seguridad económica «.