Hackers de Corea del Norte e Irán convirtieron al inocente Gemini en una herramienta de espionaje

Los investigadores del Google Threat Intelligence Group (GTIG) señalan que los grupos de hackers recurren cada vez más a la inteligencia artificial para mejorar sus esquemas y lograr mejores resultados. Sin embargo, como se ha descubierto, por ahora sus intentos no han sido muy exitosos...

Los especialistas analizaron cómo los delincuentes intentan utilizar el asistente de IA Gemini. La mayoría de los ataques resultaron ser primitivos: los criminales simplemente empleaban métodos básicos y técnicas de acceso público para eludir las restricciones en las solicitudes (jailbreak prompts), sin mostrar ninguna creatividad.

Se ha descubierto que los modelos de lenguaje (LLM) suelen ayudar en dos tipos de actividades delictivas. O bien automatizan tareas rutinarias, como la escritura de código y la creación de materiales maliciosos, o intentan obligar a los modelos a realizar acciones malintencionadas, como buscar y robar datos.

En GTIG prestaron especial atención a los hackers norcoreanos. Estos intentaron utilizar Gemini para redactar cartas de presentación y buscar empleo en empresas extranjeras, tanto en proyectos freelance como en puestos de tiempo completo. Uno de los grupos analizó detenidamente los salarios promedio de distintos especialistas y redactó descripciones de ofertas de trabajo. Además, los hackers estaban interesados en temas estratégicamente importantes, como las tecnologías nucleares surcoreanas y las criptomonedas (aunque esto no es nada nuevo).

Los grupos norcoreanos demostraron un alto nivel de preparación técnica. Además de Gemini, utilizan generadores de imágenes para crear perfiles falsos, así como herramientas especializadas para elaborar correos electrónicos de phishing. Las bandas más avanzadas emplean Gemini para estudiar infraestructuras, buscar alojamientos gratuitos y recopilar información sobre posibles objetivos.

Los delincuentes más activos en el uso del modelo fueron aquellos vinculados con Irán. También utilizaron el asistente de IA de diversas maneras: investigaron organizaciones de defensa y sus vulnerabilidades, prepararon materiales para campañas maliciosas, crearon cebos de phishing y realizaron labores de espionaje. Con frecuencia redactaban textos sobre temas de ciberseguridad. En total, GTIG identificó más de 10 grupos de hackers iraníes que trabajaban con Gemini. Otros ocho grupos, responsables de operaciones de información, utilizaron el modelo para idear titulares de artículos, generar contenido optimizado para SEO, realizar traducciones y redactar textos tendenciosos.

Para los hackers chinos, Gemini es una herramienta útil en inteligencia, escritura de scripts y depuración de programas. Los espías del gigante asiático están especialmente interesados en cómo infiltrarse en redes, moverse dentro de ellas, escalar privilegios, robar datos y eludir sistemas de seguridad. Según GTIG, aproximadamente tres cuartas partes de estas actividades fueron realizadas por el grupo chino DRAGONBRIDGE.

En conclusión, los investigadores identificaron dos áreas principales en las que los delincuentes utilizan Gemini. Los hackers patrocinados por gobiernos emplean el modelo para programar, recopilar información sobre objetivos, estudiar vulnerabilidades conocidas y tratar de evadir las defensas de los sistemas comprometidos. Por otro lado, los grupos dedicados a la propaganda realizan investigaciones, crean contenido, traducen textos y buscan formas de ampliar su audiencia.

Hasta ahora, ningún intento de explotar Gemini para eludir la seguridad de los servicios de Google o el sistema de verificación de cuentas ha tenido éxito. Cuando se intentó inducir a la IA a realizar acciones maliciosas, el modelo activó automáticamente sus mecanismos de protección. No obstante, Google advierte que, aunque los LLM actuales aún no otorgan grandes ventajas a los hackers, el mundo de la IA está evolucionando rápidamente. Están surgiendo nuevos sistemas que, sin duda, los delincuentes intentarán aprovechar. Al mismo tiempo, Google subraya que la inteligencia artificial también puede transformar los métodos de ciberseguridad.