Openai telah mengungkapkan bahwa mereka melarang serangkaian akun chatgpt yang kemungkinan dioperasikan oleh aktor ancaman berbahasa Rusia dan dua kelompok peretasan negara-bangsa Cina untuk membantu pengembangan malware, otomatisasi media sosial, dan penelitian tentang teknologi komunikasi satelit AS, di antara hal-hal lainnya.
“Itu [Russian-speaking] Aktor menggunakan model kami untuk membantu mengembangkan dan menyempurnakan malware Windows, men-debug kode di berbagai bahasa, dan menyiapkan infrastruktur perintah-dan-kontrol mereka, “kata Openai dalam ancaman intelijennya.” Aktor tersebut menunjukkan pengetahuan tentang internal Windows dan menunjukkan beberapa perilaku keamanan operasional. “
Kampanye malware berbasis GO telah diberi nama Scopecreep oleh perusahaan kecerdasan buatan (AI). Tidak ada bukti bahwa aktivitas itu tersebar luas di alam.
Aktor ancaman, per Openai, menggunakan akun email sementara untuk mendaftar untuk chatgpt, menggunakan masing -masing akun yang dibuat untuk memiliki satu percakapan untuk melakukan peningkatan tambahan tambahan pada perangkat lunak berbahaya mereka. Mereka kemudian meninggalkan akun dan pindah ke yang berikutnya.
Praktik menggunakan jaringan akun ini untuk menyempurnakan kode mereka menyoroti fokus musuh pada keamanan operasional (OPSEC), Openai menambahkan.
Para penyerang kemudian mendistribusikan malware yang dibantu AI melalui repositori kode yang tersedia untuk umum yang menyamar sebagai alat overlay crosshair video game yang sah yang disebut Crosshair X. Pengguna yang akhirnya mengunduh versi trojanisasi dari perangkat lunak yang terinfeksi oleh Malware Loader yang kemudian akan melanjutkan untuk mengambil kembali muatan tambahan dari server eksternal dan eksekusi.
“Dari sana, malware ini dirancang untuk memulai proses multi-tahap untuk meningkatkan hak istimewa, menetapkan kegigihan yang tersembunyi, memberi tahu aktor ancaman, dan mengekspiltrat data sensitif sambil menghindari deteksi,” kata Openai.
“Malware ini dirancang untuk meningkatkan hak istimewa dengan meluncurkan kembali dengan Shellexecutew dan berupaya menghindari deteksi dengan menggunakan PowerShell untuk secara terprogram mengecualikan dirinya dari Windows Defender, menekan jendela konsol, dan memasukkan penundaan waktu.”
Di antara taktik lain yang dimasukkan oleh Scopecreep termasuk penggunaan base64-encoding untuk mengaburkan muatan, teknik pemuatan samping DLL, dan proxy Socks5 untuk menyembunyikan alamat IP sumbernya.
Tujuan akhir dari malware adalah untuk memanen kredensial, token, dan cookie yang disimpan di browser web, dan mengeluarkannya kepada penyerang. Ini juga mampu mengirimkan peringatan ke saluran telegram yang dioperasikan oleh aktor ancaman ketika korban baru dikompromikan.
Openai mencatat bahwa aktor ancaman meminta modelnya untuk men -debug cuplikan kode GO yang terkait dengan permintaan HTTPS, serta mencari bantuan dengan mengintegrasikan API telegram dan menggunakan perintah PowerShell melalui GO untuk memodifikasi pengaturan Windows Defender, khususnya ketika datang untuk menambahkan pengecualian antivirus.
Kelompok kedua akun chatgpt yang dinonaktifkan oleh openai dikatakan dikaitkan dengan dua kelompok peretasan yang dikaitkan dengan Cina: ATP5 (alias perunggu Fleetwood, Keyhole Panda, Mangan, dan UNC2630) dan APT15 (alias Flea, Nylon Tychoon, Playful Taurus, Royal Apt, dan Vixen Panda))
Sementara satu subset terlibat dengan AI Chatbot tentang hal-hal yang berkaitan dengan penelitian open-source ke berbagai entitas yang menarik dan topik teknis, serta untuk memodifikasi skrip atau konfigurasi sistem pemecahan masalah.
“Subset lain dari para aktor ancaman tampaknya berusaha untuk terlibat dalam pengembangan kegiatan dukungan termasuk administrasi sistem Linux, pengembangan perangkat lunak, dan pengaturan infrastruktur,” kata Openai. “Untuk kegiatan ini, para aktor ancaman menggunakan model kami untuk memecahkan masalah konfigurasi, memodifikasi perangkat lunak, dan melakukan penelitian pada detail implementasi.”
Ini terdiri dari meminta paket perangkat lunak pembangunan bantuan untuk penyebaran offline dan saran yang berkaitan dengan firewall dan server nama yang dikonfigurasi. Aktor ancaman yang terlibat dalam kegiatan pengembangan aplikasi web dan Android.
Selain itu, kelompok-kelompok yang terhubung dengan China mempersenjatai chatgpt untuk mengerjakan skrip brute-force yang dapat membobol server FTP, meneliti tentang penggunaan model bahasa besar (LLM) untuk mengotomatisasi pengujian penetrasi, dan mengembangkan kode untuk mengelola armada perangkat Android untuk memposting secara terprogram atau menyukai konten di media sosial seperti Facebook, Instagam, Tiktam, Tiktam, Tikok.
Beberapa kelompok aktivitas berbahaya yang diamati lainnya yang memanfaatkan chatgpt dengan cara jahat tercantum di bawah ini –
- Jaringan, konsisten dengan Skema Pekerja TI Korea Utara, yang menggunakan model Openai untuk mendorong kampanye kerja yang menipu dengan mengembangkan materi yang kemungkinan dapat memajukan upaya penipuan mereka untuk melamar TI, rekayasa perangkat lunak, dan pekerjaan jarak jauh lainnya di seluruh dunia
- Ulasan mencibirkemungkinan kegiatan asal Cina yang menggunakan model Openai untuk massal menghasilkan posting media sosial dalam bahasa Inggris, Cina, dan Urdu tentang topik relevansi geopolitik dengan negara untuk berbagi di Facebook, Reddit, Tiktok, dan X
- Operasi High Fiveaktivitas asal Filipina-yang menggunakan model Openai untuk menghasilkan volume curah komentar pendek dalam bahasa Inggris dan Taglish tentang topik yang terkait dengan politik dan peristiwa terkini di Filipina untuk berbagi di Facebook dan Tiktok
- Operasi fokus yang tidak jelasaktivitas asal Cina yang menggunakan model Openai untuk menghasilkan posting media sosial untuk dibagikan pada X dengan menyamar sebagai jurnalis dan analis geopolitik, mengajukan pertanyaan tentang serangan jaringan komputer dan alat eksploitasi, dan menerjemahkan email dan pesan dari bahasa Cina ke bahasa Inggris sebagai bagian dari upaya upaya rekayasa sosial yang diduga rekayasa sosial yang dicurigai dengan rekayasa sosial,
- Operasi Helgoland Bitekemungkinan aktivitas asal Rusia yang menggunakan model Openai untuk menghasilkan konten bahasa Rusia tentang pemilihan Jerman 2025, dan mengkritik AS dan NATO, untuk berbagi telegram dan x
- Operasi Paman Spamaktivitas asal Cina yang menggunakan model Openai untuk menghasilkan konten media sosial terpolarisasi yang mendukung kedua sisi topik yang memecah-belah dalam wacana politik AS untuk berbagi di Bluesky dan X
- Storm-2035, an Iranian influence operation that used OpenAI's models to generate short comments in English and Spanish that expressed support for Latino rights, Scottish independence, Irish reunification, and Palestinian rights, and praised Iran's military and diplomatic prowess for sharing on X by inauthentic accounts posing as residents of the US, UK, Ireland, and Venezuela.
- Operasi nomor yang salahkemungkinan kegiatan asal Kamboja yang terkait dengan sindikat penipuan tugas yang dikelola China yang menggunakan model Openai untuk menghasilkan pesan gaya perekrutan pendek dalam bahasa Inggris, Spanyol, Swahili, Kinyarwanda, Jerman, dan Haiti Creole yang mengiklankan gaji tinggi untuk tugas-tugas sepele seperti menyukai posting media sosial Sosial Posting Sosial yang mengiklankan gaji tinggi untuk tugas-tugas yang sepele seperti media sosial yang menyukai posting media sosial media sosial yang disukai media sosial yang mengiklankan yang mengiklankan tugas-tugas media sosial seperti media sosial
“Beberapa perusahaan ini dioperasikan dengan menagih rekrutan baru biaya bergabung yang substansial, kemudian menggunakan sebagian dari dana tersebut untuk membayar 'karyawan' yang ada cukup untuk mempertahankan keterlibatan mereka,” kata Ben Nimmo, Albert Zhang, Sophia Farquhar, Max Murphy, dan Kimo Bumanglag. “Struktur ini adalah karakteristik penipuan tugas.”
