Los analistas del Grupo de Inteligencia de Amenazas de Google (GTIG) informaron que al menos 57 grupos de piratas informáticos «gubernamentales» están experimentando con el uso de Gemini AI para mejorar la efectividad de sus campañas. La IA se utiliza para estudiar la infraestructura objetivo y realizar operaciones de inteligencia.
En general, los grupos APT utilizan Gemini para mejorar su rendimiento, y no para desarrollar malware o eludir las defensas tradicionales. Google informa que la actividad de Gemini asociada con los grupos APT se originó en más de 20 países, pero los más notables fueron los grupos de Irán y China.
Entre los ejemplos más comunes de aplicación de IA se encuentran: resolver problemas de escritura de herramientas y scripts, investigar vulnerabilidades divulgadas públicamente, estudiar tecnologías (explicaciones y traducciones), buscar información sobre organizaciones objetivo, así como encontrar métodos para evadir la detección, escalar privilegios o realizar inteligencia interna en una red comprometida.
Según la compañía, los grupos APT de Irán, China, Corea del Norte y Rusia han experimentado con Gemini, explorando las capacidades de la herramienta para detectar vulnerabilidades de seguridad, evadir la detección y planificar acciones después de un compromiso.
Los hackers iraníes resultaron ser los usuarios más activos de Gemini (75% de todos los casos de uso observados). Utilizaron la IA para una variedad de tareas, entre ellas: encontrar organizaciones de defensa y expertos internacionales; estudio de vulnerabilidades divulgadas públicamente; el desarrollo de campañas de phishing y la creación de contenido para operaciones de influencia.
Además, los grupos iraníes han utilizado Gemini para traducir y obtener aclaraciones en las áreas de seguridad de la información y tecnología militar, incluidos los vehículos aéreos no tripulados (UAV) y los sistemas de defensa antimisiles.
Más del 30% de los intentos de uso de Gemini por parte de las APT iraníes fueron realizados por el grupo APT42.
Los actores de amenazas chinos han utilizado Gemini principalmente para recopilar información sobre organizaciones militares y gubernamentales de EE. UU.; investigación de vulnerabilidades; Secuencias de comandos para el movimiento lateral y la escalada de privilegios y para la actividad posterior a la infracción, incluida la evasión de la detección y la obtención de un punto de apoyo en las redes de las víctimas.
También exploraron formas de acceder a Microsoft Exchange utilizando hashes de contraseñas y estaban interesados en soluciones de seguridad de ingeniería inversa como Carbon Black EDR.
Gemini AI ha sido utilizada por al menos 20 grupos de hackers del Reino Medio.
Norcoreano Las APT utilizaban Gemini como herramienta auxiliar. Por ejemplo, se utilizó la IA para encontrar proveedores de alojamiento gratuitos; recopilación de información sobre las organizaciones destinatarias; Ayudar en el desarrollo de malware y métodos para evadir ataques. Gran parte de la actividad se ha centrado en un esquema en el que falsos profesionales de TI norcoreanos son contratados por empresas occidentales.
Por ejemplo, Gemini ayudó a los piratas informáticos a compilar solicitudes de empleo, cartas de presentación y ofertas de trabajo a empresas occidentales con nombres falsos.
Los grupos de hackers rusos interactuaron mínimamente con Gemini, usándolo principalmente para ayudar con la creación de scripts, traducción y carga útil. Como regla general, su actividad tenía como objetivo reescribir el malware disponible públicamente en otros lenguajes de programación; Adición de cifrado a código malintencionado Comprender cómo funcionan las piezas individuales de malware comúnmente disponibles.
Los investigadores creen que los piratas informáticos rusos prefieren utilizar modelos de IA desarrollados por Rusia y LLM locales, evitando las herramientas de IA occidentales por razones de seguridad. Por lo tanto, las capacidades de Gemini AI fueron probadas solo por tres grupos de piratas informáticos rusos.