Google emitió recientemente una advertencia indicando que varios grupos de amenazas persistentes avanzadas (APT) respaldados por diferentes países están utilizando su asistente de inteligencia artificial Gemini para aumentar su eficiencia y mejorar sus capacidades de ataque. Estos hackers no simplemente utilizan Gemini para lanzar nuevos ciberataques, sino que emplean esta herramienta para investigar infraestructuras de ataque potenciales y realizar reconocimiento de objetivos, acortando así el tiempo de preparación.
El grupo de inteligencia de amenazas de Google (GTIG) descubrió que grupos APT de más de 20 países están intentando activamente utilizar Gemini, siendo particularmente notables las actividades de hackers de Irán y China. Los hackers utilizan Gemini para ayudar en el desarrollo de herramientas y scripts, investigar vulnerabilidades públicas, traducir documentos técnicos, reconocer organizaciones objetivo y buscar formas de evadir la detección. Se podría decir que Gemini se está convirtiendo en una de sus "nuevas armas".
Nota de la fuente: La imagen fue generada por IA, con licencia de Midjourney.
Por ejemplo, los hackers iraníes utilizan Gemini para diversas actividades, incluyendo el reconocimiento de organizaciones de defensa e investigadores internacionales, la investigación de vulnerabilidades conocidas, el desarrollo de campañas de phishing y la creación de contenido para influir en las operaciones. Además, utilizan Gemini para traducir e interpretar tecnología militar, incluyendo áreas como drones y sistemas de defensa antimisiles.
Mientras tanto, los hackers respaldados por China se centran principalmente en el reconocimiento de instituciones militares y gubernamentales estadounidenses, utilizando Gemini para investigar vulnerabilidades, escribir scripts y mejorar sus privilegios. También exploran cómo acceder a Microsoft Exchange mediante el hash de contraseñas, e incluso realizan ingeniería inversa de algunas herramientas de seguridad.
Los grupos APT norcoreanos también utilizan activamente Gemini, cubriendo múltiples etapas del ciclo de vida de un ataque, investigando servicios de alojamiento gratuitos, realizando reconocimiento de objetivos y desarrollando malware. También utilizan Gemini para ayudar en la planificación de trabajos para trabajadores de TI norcoreanos, redactando solicitudes de empleo bajo identidades falsas para obtener trabajos en empresas occidentales.
En comparación, los hackers rusos utilizan Gemini con menos frecuencia, concentrándose principalmente en la asistencia con scripts y la traducción. Sus actividades muestran una preferencia por los modelos de inteligencia artificial desarrollados localmente, o bien, por razones de seguridad operativa, evitan el uso de herramientas occidentales.
Cabe destacar que, aunque los hackers intentaron utilizar exploits públicos contra Gemini, estos intentos no tuvieron éxito. Esto refleja la actual proliferación del mal uso de herramientas de inteligencia artificial generativa en el mercado. A medida que el mercado de la IA se expande, también lo hace el número de modelos sin las medidas de protección adecuadas, lo que plantea nuevos desafíos para la ciberseguridad.
