O Google revelou que diversos grupos APTs (Ameaças Persistentes Avançadas) estão utilizando o Gemini, sua plataforma de inteligência artificial generativa, para aumentar a eficiência e a complexidade de campanhas cibernéticas em larga escala. A descoberta faz parte de um relatório divulgado pelo Google Threat Intelligence Group (GTIG). APT grupos patrocinados por China, Rússia, Irã e Coreia do Norte estariam abusando do Gemini para otimizar desde o reconhecimento inicial até o desenvolvimento de ferramentas maliciosas, passando pela engenharia social e automação de ataques direcionados.
O uso da IA tem acelerado etapas que antes exigiam alto esforço humano. O grupo norte-coreano UNC2970, associado ao notório Lazarus Group, foi um dos destaques no relatório. Ele usou o Gemini para mapear perfis de vítimas, identificar alvos estratégicos e sintetizar informações públicas, melhorando a efetividade de campanhas de phishing e ataques de engenharia social. Além da coleta de dados, os APTs vêm utilizando o Gemini para escrever e revisar códigos maliciosos, gerar conteúdo enganoso para campanhas falsas de suporte técnico (ClickFix), construir kits de phishing personalizados e criar web shells para servidores vulneráveis. O relatório destaca que malwares como HONESTCUE e kits como COINBAIT já estão integrando funcionalidades de IA generativa para manter-se dinâmicos, adaptando-se às defesas do alvo.
Alguns desses ataques são capazes de executar código diretamente na memória, dificultando a detecção. Outra tática observada é o uso da IA para simular interações humanas, tornando campanhas de spear phishing mais convincentes. A IA também é empregada para automatizar testes de vulnerabilidades, reduzindo drasticamente o tempo entre o reconhecimento e a exploração de sistemas. O Google também alertou que alguns grupos estão mirando os próprios modelos de IA, tentando realizar ataques de model extraction, com o objetivo de clonar ou manipular os modelos para uso ofensivo ou evasivo.
