Az APT csoportok egyre gyakrabban használják a Gemini-t
2025 utolsó negyedévében a Google Threat Intelligence Group (GTIG) megfigyelte, hogy a kiberszereplők egyre inkább integrálják a mesterséges intelligenciát (AI) a támadási ciklus felgyorsítása érdekében, ezzel növelve a felderítés, a social engineering munka és a rosszindulatú szoftverek fejlesztésének hatékonyságát. A GTIG feburá 12-én megjelent jelentése frissíti a 2025 novemberi megállapításokat a kiberszereplők AI-eszközök használatának fejlődéséről.
A jelentés szerint kifinomult kiberszereplők Kínában, Észak-Koreában és Iránban a Google Gemini AI eszközét használják, hogy fokozzák támadásaikat és finomítsák a rosszindulatú szoftvereket és kutatásokat végezzenek a célpontokról. A jelentésben kiemelt egyik példában a GTIG megfigyelte, ahogy egy ismert kínai csoport a Gemini segítségével információkat gyűjtött pakisztáni személyekről és strukturális adatokat különböző országok szeparatista szervezeteiről.
A kutatók megállapították, hogy az APT csoportok az AI eszközt kódolási és szkriptelési feladatokra, potenciális célpontokról való információgyűjtésre, nyilvánosan ismert sérülékenységek kutatására és a támadás utáni tevékenységek lehetővé tételére használták.
A megállapítások nagyban tükrözik azt, amit több más AI-vállalat is jelentett az elmúlt két évben arról, hogy az államilag támogatott kiberszereplők hogyan használják a népszerű, nyilvánosan elérhető nagy nyelvi modelleket a felderítés racionalizálására és a támadások fokozására.
A GTIG az elmúlt negyedévben több incidenst is olyan ismert APT csoportoknak tulajdonított, amelyek hosszú évek óta kormányok megbízásából végeznek kibertevékenységeket, és amelyek különböző célokra használják a Gemini-t. Az iráni APT42 csoport – amelyet GreenCharlie, Charming Kitten és Mint Sandstorm néven is ismernek – a Gemini programot használta arra, hogy konkrét szervezetek hivatalos e-mailjeit keresse meg, és potenciális üzleti partnereket derítsen fel, hogy hiteles ürügyet találjon a phishing e-mailek küldéséhez.
A csoport megadta a Gemini-nek a célpont életrajzát, és megkérte, hogy készítsen egy jó személyiséget vagy forgatókönyvet, amely ráveszi a célpontot a részvételre. Az APT42 adathalász e-mailek fordítására és más nyelveken szereplő kifejezések és utalások jobb megértésére, valamint rosszindulatú szoftverek, támadó eszközök és exploitok fejlesztésének felgyorsítására is használta a Gemini-t
Egy észak-koreai csoport, amely a védelmi szektor támadására összpontosított, a Gemini-t OSINT szintetizálásra és nagy értékű célpontok profilozására használta a kampánytervezés és a felderítés során.
A GTIG szerint számos kifinomult kínai csoport alkalmazta a Gemini programot a sérülékenységek elemzésének automatizálására és célzott tesztelési tervek kidolgozására. Legalább egy csoport hamis forgatókönyvet készített, és megkérte a Gemini programot, hogy tesztelje a megkerülési technikákat konkrét amerikai célpontok ellen – automatizálva az információgyűjtést a szervezeti védelem gyenge pontjainak azonosítása érdekében.
Egy másik, Kínában működő csoport állítólag hetente több napon is használta a Gemini programot kódjaik hibáinak kijavítására, valamint bizonyos típusú hibák kutatására.
A jelentés megjegyzi, hogy Kínából, Iránból, Oroszországból és Szaúd-Arábiából származó kiberszereplők is használják a Gemini programot propaganda készítésére.
A GTIG megerősítette a Cato Networks korábbi kutatásait is, amelyek szerint a kiberbűnözők olyan rosszindulatú programokkal kísérleteznek, amelyek az LLM képességeket közvetlenül integrálják a támadási láncba.
Szeptemberben a GTIG kutatói olyan rosszindulatú programmintákat azonosítottak, amelyeket HONESTCUE névre kereszteltek, és amelyek a Gemini API-ját használták a funkciók generálásának kiszervezésére. A HONESTCUE rosszindulatú programminták vizsgálata azt mutatja, hogy a kiberszereplők valószínűleg azért építették be a mesterséges intelligenciát, hogy a hagyományos hálózati alapú észlelést és statikus elemzést aláásva többrétegű megközelítést alkalmazzon az obfuszkálásra – állítják a kutatók.
