Google Alertas! Organizações de hackers da Coreia do Norte e de múltiplos países estão a usar o Gemini para realizar ataques

Google Grupo de Informação de Ameaças (GTIG) publicou o seu relatório mais recente, indicando que hackers da Coreia do Norte e de vários outros países estão a aproveitar ativamente o Gemini para realizar tarefas de reconhecimento automatizado, desenvolvimento de malware e outras atividades, representando uma ameaça séria aos dados globais e à segurança nacional. O responsável pelo GTIG, Steve Miller, afirmou que as empresas precisam de encarar a questão dos ataques cibernéticos de frente, implementar defesas de IA adequadas e proteger os recursos e dados da organização.

Hackers utilizam Gemini para análise de alvos específicos através de inteligência de código aberto

O relatório da Google indica que o grupo de hackers norte-coreano, com o codinome UNC 2970, está a usar o Gemini para análise detalhada de alvos de alto valor, através de inteligência de código aberto (OSINT). Este grupo, que opera sob o nome de Operation Dream Job (Operação Emprego dos Sonhos), disfarça-se de recrutadores corporativos, focando profissionais das indústrias aeroespacial, de defesa e energia. Com o auxílio de IA, os atacantes podem pesquisar de forma mais eficaz as vagas técnicas e estruturas salariais de empresas de segurança cibernética e defesa, permitindo-lhes identificar os alvos com maior precisão.

O GTIG afirma que o UNC 2970 cria scripts de engenharia social altamente personalizados, permitindo uma focalização mais precisa nas vulnerabilidades iniciais de intrusão. Além da Coreia do Norte, os hackers chineses Mustang Panda (Temp.HEX) e APT 31 também foram descobertos a usar IA para editar perfis pessoais ou automatizar análises de vulnerabilidades.

Novo malware utiliza API do Gemini para terceirizar desenvolvimento de funcionalidades

O relatório revela um novo malware chamado HONESTCUE, que utiliza a API do Gemini para terceirizar o desenvolvimento de funcionalidades. HONESTCUE é uma estrutura de downloader, cujo estágio secundário sem ficheiros recebe código fonte em C# gerado pela API do Gemini, compilando e executando cargas úteis diretamente na memória usando a framework legítima .NET CSharpCodeProvider, deixando assim rastros mínimos no disco.

Atacantes enviam mais de cem mil prompts, copiando capacidades de raciocínio de IA

A Google observou que os atacantes enviaram uma grande quantidade de prompts à IA, tentando copiar a capacidade de raciocínio do modelo. A Google conseguiu bloquear modelos alternativos que tentavam imitar a IA; numa grande campanha de ataque, o Gemini foi alvo de mais de 100 mil prompts, que continham questões destinadas a replicar a capacidade de raciocínio da IA em tarefas não em língua inglesa.

Steve Miller, responsável pela ameaça de inteligência artificial na Google, afirmou que, embora os atacantes continuem a tentar contornar as defesas disfarçando-se, o Gemini tem vindo a melhorar na deteção de fraudes e no reforço dos filtros automáticos. Os sistemas de defesa estão em constante evolução para responder a novos tipos de ataques por prompts.

Diante da crescente ameaça da IA, a Google lançou um plano de defesa de rede baseado em IA, que continuamente atualiza as defesas contra ataques maliciosos, melhora a precisão na deteção e acelera a resposta automática. Através de aprendizagem automática, os sistemas de defesa tornam-se mais sensíveis na identificação de comportamentos anormais de chamadas API e de scripts maliciosos. Steve Miller afirmou que as empresas devem investir em infraestruturas de IA e construir sistemas de defesa robustos para garantir a segurança cibernética futura.

Este artigo “Google alerta! Coreia do Norte e múltiplas organizações de hackers estão a usar Gemini para ataques” foi originalmente publicado na ABMedia.