Google: Mais de 57 grupos de ameaças de estados-nação aproveitam IA para ações cibernéticas

“Atores de ameaças estão testando o Gemini para possibilitar suas operações, encontrando ganhos de produtividade, mas ainda não criando novos recursos”, afirmou o Google Threat Intelligence Group (GTIG) em um novo relatório. “Atualmente, eles usam principalmente IA para pesquisa, solução de problemas de código e criação e localização de conteúdo.”

Atacantes apoiados por governos, também conhecidos como grupos de Ameaça Persistente Avançada (APT), têm buscado usar suas ferramentas para fortalecer várias etapas do ciclo de ataque, incluindo tarefas de codificação e script, desenvolvimento de carga útil, coleta de informações sobre alvos potenciais, pesquisa de vulnerabilidades publicamente conhecidas e habilitação de atividades pós-comprometimento, como evasão de defesas.

Descrevendo os agentes iranianos do APT como os “principais usuários do Gemini”, o GTIG afirmou que a equipe de hackers conhecida como APT42, responsável por mais de 30% do uso do Gemini por hackers iranianos, utilizou suas ferramentas para criar campanhas de phishing, realizar reconhecimento sobre especialistas e organizações de defesa e gerar conteúdo com temas de cibersegurança.

O APT42, que se sobrepõe a grupos rastreados como Charming Kitten e Mint Sandstorm, tem um histórico de orquestrar esquemas de engenharia social sofisticados para infiltrar redes-alvo e ambientes de nuvem. Em maio passado, a Mandiant revelou que o ator da ameaça estava mirando ONGs ocidentais e do Oriente Médio, organizações de mídia, academia, serviços jurídicos e ativistas, se passando por jornalistas e organizadores de eventos.

O coletivo adversário também pesquisa sistemas militares e de armamentos, estuda tendências estratégicas na indústria de defesa da China e busca entender melhor os sistemas aeroespaciais fabricados nos EUA.

Grupos APT chineses foram encontrados pesquisando no Gemini em busca de formas de realizar reconhecimento, solucionar problemas de código e métodos para penetrar profundamente nas redes das vítimas por meio de técnicas como movimentação lateral, escalonamento de privilégios, exfiltração de dados e evasão de detecção.

Enquanto os agentes russos de APT restringiram o uso do Gemini para converter malware disponível publicamente em outras linguagens de codificação e adicionar camadas de criptografia ao código existente, os agentes norte-coreanos usaram o serviço de IA do Google para pesquisar provedores de infraestrutura e hospedagem.

“É relevante destacar que atores norte-coreanos também usaram o Gemini para redigir cartas de apresentação e pesquisar empregos — atividades que provavelmente apoiariam os esforços da Coreia do Norte para colocar trabalhadores clandestinos de TI em empresas ocidentais”, observou o GTIG.

“Um grupo apoiado pela Coreia do Norte usou o Gemini para redigir cartas de apresentação e propostas para descrições de cargos, pesquisou salários médios para posições específicas e procurou por empregos no LinkedIn. O grupo também utilizou o Gemini para obter informações sobre intercâmbios de funcionários no exterior. Muitos desses tópicos seriam comuns para qualquer pessoa em busca e se candidatando a empregos.”

A gigante da tecnologia também observou postagens em fóruns clandestinos anunciando versões maliciosas de grandes modelos de linguagem (LLMs) capazes de gerar respostas sem qualquer tipo de restrição de segurança ou ética.

Exemplos dessas ferramentas incluem WormGPT, WolfGPT, EscapeGPT, FraudGPT e GhostGPT, que são especificamente projetadas para criar e-mails de phishing personalizados, gerar modelos para ataques de comprometimento de e-mail corporativo (BEC) e desenvolver sites fraudulentos.

Tentativas de uso indevido do Gemini também se concentraram em pesquisas sobre eventos relevantes e criação de conteúdo, tradução e localização, como parte de operações de influência promovidas por Irã, China e Rússia. No total, grupos APT de mais de 20 países recorreram ao Gemini.

O Google, que afirmou estar “implantando ativamente defesas” para combater ataques de injeção imediata, destacou ainda mais a necessidade de uma colaboração mais estreita entre o setor público e privado para fortalecer as defesas cibernéticas e neutralizar ameaças, ressaltando que “a indústria e o governo dos EUA precisam trabalhar juntos para apoiar nossa segurança nacional e econômica”.