Se ha observado que más de 57 actores de amenazas distintos utilizan tecnología de inteligencia artificial (IA) impulsada por Google para facilitar aún más sus operaciones cibernéticas y de información maliciosas.
«Los actores de amenazas están experimentando con Gemini para facilitar sus operaciones y han descubierto mejoras de productividad, pero aún no han desarrollado capacidades novedosas», afirmó Google Threat Intelligence Group (GTIG) en un nuevo informe. «En la actualidad, utilizan principalmente la IA para la investigación, la resolución de problemas de código y la creación y localización de contenido».
Los atacantes respaldados por el gobierno, también conocidos como grupos de amenazas persistentes avanzadas (APT), han buscado usar sus herramientas para reforzar múltiples fases del ciclo de ataque, incluidas tareas de codificación y creación de scripts, desarrollo de carga útil, recopilación de información sobre objetivos potenciales, investigación de vulnerabilidades conocidas públicamente y habilitación de actividades posteriores al compromiso, como la evasión de defensa.
Al describir a los actores APT como los «usuarios más intensivos de Gemini», GTIG dijo que el equipo de piratas informáticos conocido como APT42, que representó más del 30% del uso de Gemini por parte de piratas informáticos del país, aprovechó sus herramientas para crear campañas de phishing, realizar reconocimientos sobre expertos y organizaciones de defensa y generar contenido con temas de ciberseguridad.
APT42 , que se superpone con grupos rastreados como Charming Kitten y Mint Sandstorm, tiene un historial de orquestar esquemas mejorados de ingeniería social para infiltrarse en redes y entornos de nube de destino. En mayo pasado, Mandiant reveló que el actor de amenazas tenía como objetivo a ONG, organizaciones de medios, instituciones académicas, servicios legales y activistas occidentales y de Oriente Medio haciéndose pasar por periodistas y organizadores de eventos.
También se ha descubierto que el colectivo adversario investiga sistemas militares y de armas, estudia tendencias estratégicas en la industria de defensa de y obtiene una mejor comprensión de los sistemas aeroespaciales fabricados en Estados Unidos.
Se encontraron grupos APT chinos que buscaban en Gemini formas de realizar reconocimiento, solucionar problemas de código y métodos para penetrar profundamente en las redes de las víctimas a través de técnicas como movimiento lateral, escalada de privilegios, exfiltración de datos y evasión de detección.
Mientras que los actores APT rusos limitaron su uso a Gemini para convertir malware disponible públicamente en otro lenguaje de codificación y agregar capas de cifrado al código existente, los actores emplearon el servicio de inteligencia artificial de Google para investigar proveedores de infraestructura y alojamiento.
«Cabe destacar que los actores también usaron Gemini para redactar cartas de presentación y buscar empleos, actividades que probablemente respaldarían los esfuerzos para colocar trabajadores clandestinos de TI en empresas occidentales», señaló GTIG.
«Un grupo utilizó Gemini para redactar cartas de presentación y propuestas para descripciones de puestos de trabajo, investigó los salarios promedio para puestos específicos y preguntó sobre empleos en LinkedIn. El grupo también utilizó Gemini para obtener información sobre bolsas de empleados en el extranjero. Muchos de los temas serían comunes para cualquiera que busque y solicite empleos».
El gigante tecnológico señaló además que ha visto publicaciones en foros clandestinos que publicitan versiones nefastas de modelos de lenguaje grandes (LLM) que son capaces de generar respuestas sin ninguna restricción ética o de seguridad.
Algunos ejemplos de estas herramientas son WormGPT, WolfGPT, EscapeGPT, FraudGPT y GhostGPT, que están diseñadas explícitamente para crear correos electrónicos de phishing personalizados, generar plantillas para ataques de compromiso de correo electrónico empresarial (BEC) y diseñar sitios web fraudulentos.
Los intentos de uso indebido de Gemini también han tenido que ver con la investigación de eventos de actualidad y la creación, traducción y localización de contenidos.
Google, que dijo que está » desplegando activamente defensas » para contrarrestar ataques de inyección rápida , ha enfatizado además la necesidad de una mayor colaboración público-privada para aumentar las defensas cibernéticas e interrumpir las amenazas, afirmando que «la industria y el gobierno estadounidenses deben trabajar juntos para apoyar nuestra seguridad nacional y económica».
Fuente y redacción: thehackernews.com
