Google alerta para uso da IA Gemini por hackers estatais em ataques cibernéticos

Grupos de ciberespionagem utilizam IA generativa para aprimorar ataques

Pesquisadores da equipe de inteligência de ameaças do Google identificaram o uso crescente de modelos de inteligência artificial generativa, como o Gemini, por grupos de ciberespionagem, incluindo o UNC2970, associado à Coreia do Norte. Esses atores têm empregado a IA para realizar atividades avançadas de reconhecimento, sintetizando informações de fontes abertas (OSINT) e elaborando perfis detalhados de alvos de alto valor, especialmente em setores de defesa e cibersegurança. A tecnologia permite a automação e aceleração de etapas críticas do ciclo de ataque, como planejamento de campanhas e identificação de vulnerabilidades humanas em empresas estratégicas.

Além do UNC2970, outros grupos de diferentes origens, como China e Irã, também têm integrado ferramentas de IA generativa em suas operações. Entre as aplicações observadas estão a coleta automatizada de credenciais sensíveis, análise de vulnerabilidades, desenvolvimento de códigos maliciosos e criação de personas para engenharia social. Destaca-se o uso do Gemini para gerar código-fonte sob demanda, como no caso do malware HONESTCUE, que utiliza a API do modelo para receber instruções em C# e executar cargas maliciosas diretamente na memória, dificultando a detecção por soluções tradicionais.

Outro vetor de ameaça identificado envolve ataques de extração de modelo, nos quais agentes maliciosos enviam grandes volumes de consultas a APIs de IA com o objetivo de replicar o comportamento do modelo original. Em um experimento recente, foi possível criar um modelo substituto com alta precisão apenas a partir das respostas obtidas, evidenciando riscos técnicos para a propriedade intelectual de sistemas de IA proprietários.

Esses avanços demonstram a relevância técnica da IA generativa não apenas como ferramenta de produtividade, mas também como recurso estratégico para atores mal-intencionados. O cenário reforça a necessidade de aprimoramento contínuo das defesas, tanto na proteção de modelos de IA quanto na detecção de ameaças que exploram essas tecnologias para comprometer ambientes corporativos e industriais.