
Lebih dari 57 aktor ancaman yang berbeda yang berhubungan dengan Cina, Iran, Korea Utara, dan Rusia telah diamati menggunakan teknologi intelijen buatan (AI) yang didukung oleh Google untuk lebih memungkinkan operasi cyber dan informasi berbahaya mereka.
“Aktor ancaman sedang bereksperimen dengan Gemini untuk memungkinkan operasi mereka, menemukan keuntungan produktivitas tetapi belum mengembangkan kemampuan baru,” kata Google Ancaman Intelijen (GTIG) dalam sebuah laporan baru. “Saat ini, mereka terutama menggunakan AI untuk penelitian, pemecahan masalah, dan membuat dan melokalisasi konten.”
Government-backed attackers, otherwise known as Advanced Persistent Threat (APT) groups, have sought to use its tools to bolster multiple phases of the attack cycle, including coding and scripting tasks, payload development, gathering information about potential targets, researching publicly known vulnerabilities , dan memungkinkan kegiatan pasca-kompromi, seperti penghindaran pertahanan.

Describing Iranian APT actors as the “heaviest users of Gemini,” GTIG said the hacking crew known as APT42, which accounted for more than 30% of Gemini use by hackers from the country, leveraged its tools for crafting phishing campaigns, conducting reconnaissance on defense Para ahli dan organisasi, dan menghasilkan konten dengan tema keamanan siber.
APT42, yang tumpang tindih dengan cluster yang dilacak sebagai anak kucing yang menawan dan mint sandstorm, memiliki sejarah mengatur skema rekayasa sosial yang ditingkatkan untuk menyusup ke jaringan target dan lingkungan cloud. Mei lalu, Mandiant mengungkapkan penargetan ancaman aktor LSM Barat dan Timur Tengah, organisasi media, akademisi, layanan hukum dan aktivis dengan menyamar sebagai jurnalis dan penyelenggara acara.
Kolektif permusuhan juga telah ditemukan untuk meneliti sistem militer dan senjata, mempelajari tren strategis di industri pertahanan China, dan mendapatkan pemahaman yang lebih baik tentang sistem kedirgantaraan buatan AS.
Kelompok -kelompok apt Cina ditemukan mencari Gemini untuk melakukan cara melakukan pengintaian, pemecahan kode masalah, dan metode untuk menggali jauh ke dalam jaringan korban melalui teknik seperti gerakan lateral, eskalasi hak istimewa, exfiltrasi data, dan penghindaran deteksi.
Sementara aktor apt Rusia membatasi penggunaannya pada Gemini untuk mengubah malware yang tersedia untuk umum menjadi bahasa pengkodean lain dan menambahkan lapisan enkripsi ke kode yang ada, aktor Korea Utara menggunakan layanan AI Google untuk meneliti infrastruktur dan penyedia hosting.
“Sebagai catatan, aktor Korea Utara juga menggunakan Gemini untuk menyusun surat pengantar dan pekerjaan penelitian – aktivitas yang kemungkinan akan mendukung upaya Korea Utara untuk menempatkan pekerja IT klandestin di perusahaan -perusahaan barat,” kata GTIG.
“Satu kelompok yang didukung Korea Utara memanfaatkan Gemini untuk menyusun surat pengantar dan proposal untuk deskripsi pekerjaan, meneliti gaji rata-rata untuk pekerjaan tertentu, dan bertanya tentang pekerjaan di LinkedIn. Kelompok ini juga menggunakan Gemini untuk informasi tentang pertukaran karyawan di luar negeri. Banyak topik yang akan akan terjadi Jadilah umum bagi siapa pun yang meneliti dan melamar pekerjaan. “
Raksasa teknologi ini lebih lanjut mencatat bahwa ia telah melihat posting forum bawah tanah yang mengiklankan versi jahat model bahasa besar (LLM) yang mampu menghasilkan tanggapan tanpa batasan keamanan atau etika apa pun.

Contoh alat tersebut termasuk WormGpt, Wolfgpt, Escapegpt, FraudGpt, dan GhostGPT, yang secara eksplisit dirancang untuk membuat email phishing yang dipersonalisasi, menghasilkan templat untuk serangan kompromi email bisnis (BEC), dan merancang situs web penipuan.
Upaya untuk menyalahgunakan Gemini juga berputar di sekitar penelitian tentang peristiwa topikal, dan pembuatan konten, terjemahan, dan lokalisasi sebagai bagian dari operasi pengaruh yang dipasang oleh Iran, Cina, dan Rusia. Secara keseluruhan, kelompok APT dari lebih dari 20 negara menggunakan Gemini.
Google, yang mengatakan “secara aktif mengerahkan pertahanan” untuk melawan serangan injeksi yang cepat, telah lebih menekankan perlunya peningkatan kolaborasi publik-swasta untuk meningkatkan pertahanan dunia maya dan mengganggu ancaman, menyatakan “industri Amerika dan pemerintah perlu bekerja sama untuk mendukung nasional kita dan keamanan ekonomi. “