Um grupo ligado ao regime norte-coreano começou a usar modelos de linguagem como o Gemini para gerar código malicioso e roubar ativos digitais. O Google respondeu com bloqueios e novas medidas de segurança, mas o caso marca um ponto de virada no uso da inteligência artificial em ataques cibernéticos.
Durante anos, modelos de linguagem como o Gemini foram vistos como ferramentas de produtividade, capazes de redigir e-mails, resumir documentos ou escrever código útil. Mas, em mãos erradas, essa mesma capacidade pode ser usada como arma. O caso do grupo de hackers norte-coreano demonstra isso. UNC1069, também conhecida como Masan, que começou a usar o Gemini para Gerar scripts de phishing e roubar ativos digitais..
Conforme denunciar Do Grupo de Inteligência de Ameaças do Google (GTIG), este grupo de hackers integrou ativamente a IA em suas operações. Não se trata mais apenas de usar IA para pesquisa ou para automatizar tarefas; agora eles a utilizam durante a execução de seus ataques para... gerar código malicioso em tempo realuma técnica que o Google apelidou de “Criação de código sob demanda”.
Para os pesquisadores, isso representa uma mudança significativa em relação aos malwares tradicionais, que normalmente têm sua lógica codificada estaticamente. Ao gerar código dinamicamente, os atacantes podem se adaptar ao ambiente, burlar os sistemas de detecção e personalizar seus ataques com base no alvo. Em outras palavras, o malware agora "pensa".
Negocie suas criptomoedas com segurança na Bit2Me.O que os hackers de Masan estão atrás? Carteiras digitais, senhas e phishing multilíngue.
O objetivo da UNC1069, de acordo com a pesquisa, é roubar criptomoedaPara alcançar esse objetivo, os hackers utilizaram o modelo de IA Gemini para executar tarefas muito específicas que aprimoram seus ataques. Essas tarefas incluem:
- Localização dos dados da carteira de criptomoedas: Os atacantes pediram à modelo que identificasse os caminhos dos arquivos e as configurações associadas aos aplicativos de armazenamento de ativos digitais.
- Geração de scripts de acesso: O Gemini foi usado para gerar scripts que permitem o acesso a armazenamento criptografado ou a extração de dados. chaves privadasAutomatizar a criação de código malicioso.
- Como escrever e-mails de phishing: Igualmente preocupante é a utilização desse modelo de IA para redigir e-mails de phishing altamente persuasivos, escritos em vários idiomas e direcionados a funcionários de corretoras e plataformas de criptomoedas, com o objetivo de obter credenciais ou infiltrar-se em sistemas internos.
Esses tipos de ataques representam um avanço significativo na área de cibersegurança. A inteligência artificial não só facilita a escalabilidade dessas operações, como também automatiza tarefas complexas e reduz a margem de erro humano. Além disso, ao criar códigos dinâmicos e adaptativos, esses scripts tornam-se muito mais eficazes. mais difícil de detectar por sistemas antivírus tradicionais, que geralmente dependem de padrões fixos para identificar ameaças existentes.
O relatório preparado pelo Google também destaca que este não é um caso isolado. Outras famílias de malware estão adotando abordagens semelhantes com modelos de linguagem avançados. Por exemplo, o PROMPTFLUX usa o Gemini para reescrever seu próprio código VBScript a cada hora, enquanto o PROMPTSTEAL, ligado ao grupo russo APT28, utiliza o modelo Qwen2.5-Coder para gerar comandos do Windows em tempo real.
Resumindo, essa evolução nas técnicas de ataque baseadas em IA representa um novo desafio para a segurança digital no campo das criptomoedas e em outras áreas.
Crie sua conta e acesse o mundo das criptomoedas com segurança.Reação do Google: bloqueio de contas e novas barreiras de segurança.
Ao detectar essa atividade maliciosa, o Google agiu rapidamente. De acordo com o GTIG, A empresa bloqueou contas vinculadas ao UNC1069 e reforçou os filtros de acesso ao Gemini. Para evitar o uso indevido dessa ferramenta, a empresa implementou novos sistemas de monitoramento projetados para detectar quaisquer padrões suspeitos em consultas feitas aos seus modelos de inteligência artificial.
Entre as medidas adotadas estão limitações na capacidade de suas APIs gerar código sensível ou executar comandos que possam representar um risco, bem como filtros mais rigorosos o que torna mais difícil para os usuários criarem scripts maliciosos. Também incorporado auditorias abrangentes Para monitorar como os modelos são usados, permitindo uma identificação mais precisa de comportamentos incomuns ou abusivos.
No entanto, o Google destaca que o problema vai além de suas próprias tecnologias. Muitas plataformas abertas, como as encontradas no Hugging Face, oferecem acesso irrestrito a sistemas de inteligência artificial que podem ser explorados para fins maliciosos. Isso significa que, mesmo que grandes empresas reforcem suas defesas, agentes maliciosos ainda terão diversas maneiras de explorar essas ferramentas tecnológicas cada vez mais avançadas.
Proteja seus ativos: acesse-os pelo Bit2Me.O que isso significa para o futuro da cibersegurança?
O caso UNC1069 representa um momento crucial na evolução da cibersegurança. Pela primeira vez, o uso de modelos de linguagem avançados foi confirmado na fase operacional de um ciberataque real, não como um mero experimento, mas como uma tática ativa. O Google detectou que pelo menos cinco famílias de malware começaram a implementar essa tecnologia, evidenciando uma tendência que pode mudar a dinâmica do cibercrime.
Diante desse cenário, surgem questões essenciais para empresas de tecnologia e órgãos reguladores: Como podemos impedir que a inteligência artificial seja usada para fins ilegais? Qual é a responsabilidade das empresas que desenvolvem esses modelos? É viável manter o acesso aberto a essas ferramentas e, ao mesmo tempo, garantir a segurança global?
O uso de IA em ataques também aumenta a complexidade na identificação e atribuição de responsabilidades. Quando o código malicioso é gerado dinamicamente por algoritmos, torna-se mais difícil rastrear sua origem e distinguir entre uso legítimo e malicioso.
No caso específico do UNC1069, o objetivo parece ser financiar as atividades do regime norte-coreano por meio do roubo de ativos digitais, mas essa técnica poderia ser adotada por diversos atores, desde organizações criminosas até estados com intenções hostis. A capacidade de gerar código adaptado em tempo real torna a inteligência artificial uma ferramenta eficiente, mas que também representa riscos significativos para a segurança cibernética global.
No entanto, embora o avanço da inteligência artificial esteja introduzindo novos desafios de segurança cibernética, assim como outras tecnologias revolucionárias na história, como a energia nuclear, o dinheiro fiduciário ou as criptomoedas, A inteligência artificial não é inerentemente boa nem má.Seu impacto depende de como os diferentes atores o utilizam. Em outras palavras, embora possa fomentar inovação, eficiência e soluções inovadoras em áreas como saúde e educação, também pode ser mal utilizado. Portanto, a chave reside na promoção de um quadro ético e regulatório que maximize seus benefícios e minimize seus riscos, garantindo assim um desenvolvimento responsável e seguro para todos.
Compre Bitcoin com segurança na Bit2Me.
