Google a récemment publié un avertissement concernant l'utilisation de son assistant d'intelligence artificielle Gemini par plusieurs groupes de menaces persistantes avancées (APT) soutenus par différents États. Ces groupes utilisent Gemini non pas pour créer de nouvelles cyberattaques, mais pour améliorer leur efficacité et accélérer leurs opérations en effectuant des recherches sur les infrastructures potentielles et en menant des activités de reconnaissance.
L'équipe Google Threat Intelligence Group (GTIG) a constaté que des APT de plus de 20 pays utilisaient activement Gemini, les activités iraniennes et chinoises étant particulièrement notables. Les pirates utilisent Gemini pour développer des outils et des scripts, étudier les vulnérabilités publiques, traduire des documents techniques, mener des opérations de reconnaissance sur les organisations cibles et trouver des moyens d'échapper à la détection. Gemini est devenu un nouvel atout dans leur arsenal.
Source : Image générée par IA, fournie par Midjourney
Par exemple, les pirates iraniens utilisent Gemini pour diverses activités, notamment la reconnaissance d'organisations de défense et d'experts internationaux, l'étude de vulnérabilités connues, le développement d'activités de phishing et la création de contenu pour des opérations d'influence. Ils utilisent également Gemini pour traduire et interpréter des documents sur les technologies militaires, notamment dans les domaines des drones et des systèmes de défense antimissile.
Parallèlement, les pirates informatiques soutenus par la Chine se concentrent principalement sur la reconnaissance des institutions militaires et gouvernementales américaines, utilisant Gemini pour la recherche de vulnérabilités, l'écriture de scripts et l'escalade des privilèges. Ils explorent également des méthodes d'accès à Microsoft Exchange via le hachage de mots de passe et procèdent même à la rétro-ingénierie de certains outils de sécurité.
Les APT nord-coréens utilisent également activement Gemini à plusieurs étapes du cycle d'attaque, étudiant les services d'hébergement gratuits, effectuant des opérations de reconnaissance et développant des logiciels malveillants. Ils utilisent également Gemini pour aider les programmes informatiques nord-coréens, rédigeant des demandes d'emploi sous de fausses identités pour obtenir des emplois dans des entreprises occidentales.
En revanche, les pirates russes utilisent moins Gemini, se concentrant principalement sur l'assistance à la création de scripts et la traduction. Leurs activités montrent une préférence pour les modèles d'IA développés localement, peut-être par souci de sécurité opérationnelle pour éviter l'utilisation d'outils occidentaux.
Il est important de noter que bien que les pirates aient tenté d'exploiter des failles de sécurité connues de Gemini, ces tentatives n'ont pas abouti. Cela reflète la problématique actuelle de l'utilisation abusive des outils d'IA générative. Avec l'expansion du marché de l'IA, le nombre de modèles dépourvus de mesures de protection augmente, ce qui pose de nouveaux défis à la cybersécurité.
