Más de 50 grupos de amenazas de Estados-Nación emplean la IA para operaciones cibernéticas
En los últimos tiempos se ha observado que más de 50 actores de amenazas distintos, los cuales tienen vínculos con países como China, Corea del Norte, Rusia e Irán, emplean tecnología basada en inteligencia artificial impulsada por el gigante tecnológico Google para facilitar aún más sus operaciones maliciosas.
Los actores de amenazas se encuentran experimentando con Gemini para facilitar sus operaciones, encontrando ganancias de productividad. Sin embargo, aún no han desarrollado capacidades novedosas, según las declaraciones del Google Threat Intelligence Group o GTIG, en un nuevo informe. En la actualidad, usan principalmente la IA para la investigación, resolución de problemas de código y la creación y localización de contenido.
Los atacantes, respaldados por gobiernos, también conocidos como grupos de amenazas persistentes avanzadas o APT, han buscado utilizar sus herramientas para reforzar múltiples fases de su ciclo de ataque, entre las que se incluyen tareas de codificación y creación de scripts, desarrollo de cargas útiles, recopilación de información de objetivos principales, investigación de vulnerabilidades conocidas públicamente y la habilitación de actividades posteriores al ataque, como la evasión de defensa.
El grupo de inteligencia de amenazas de Google ha descrito a los actores iraníes de APT como los usuarios más intensivos de Gemini. Además, ha señalado que el grupo de hackers maliciosos conocido como APT42, el cual representaba más del 30% del uso de Gemini por parte de los ciberdelincuentes de este país, aprovechó sus herramientas para crear campañas de phishing, realizar reconocimientos sobre expertos y organizaciones de defensa, además de generar contenidos con temas de ciberseguridad.
Grupos como APT42 y otros similares, tienen un historial de orquestar esquemas mejorados de ingeniería social para infiltrarse en redes objetivo y en entornos de nube.
En el mes de mayo del año pasado, diversos especialistas revelaron que estos actores de amenazas apuntaban a ONGs occidentales y de Oriente Medio, además de organizaciones de medios, servicios legales, academia y activistas, haciéndose pasar por periodistas y organizadores de eventos.
Del mismo modo, se ha descubierto que un colectivo adversario investiga sistemas militares y de armas. Igualmente, estudia tendencias estratégicas en la industria de defensa de China, obteniendo una mejor comprensión de los sistemas aeroespaciales fabricados en los Estados Unidos.
Se han encontrado grupos APT chinos que buscaban en Gemini formas de realizar reconocimiento, solucionar problemas de código y métodos para ingresar en las redes de las víctimas. Todo ello mediante técnicas como movimiento lateral, escalada de privilegios, exfiltración de datos y evasión de detección.
Mientras que los actores APT rusos limitaron el uso de Gemini para convertir malware disponible públicamente en otro lenguaje de codificación y agregar capas de cifrado al código existente, los actores norcoreanos usaron el servicio de IA de Google para investigar proveedores de infraestructura y alojamiento.
Cabe destacar que los actores maliciosos se Corea del Norte también emplearon Gemini para redactar cartas de presentación e investigar empleos y actividades que, probablemente, podrían respaldar los esfuerzos de este país para poner trabajadores de TI clandestinos en empresas de Occidente.
Google también señaló que ha visto publicaciones en foros clandestinos que anuncian versiones maliciosas de modelos de Modelos de Lenguaje de Gran Tamaño o LLM, los cuales son capaces de generar respuestas sin ninguna restricción ética o de seguridad.
