Gli hacker legati a Cina, Iran, Russia e Corea del Nord hanno cercato di utilizzare Gemini, l’intelligenza artificiale sviluppata da Google, per condurre attività di coding e scripting, raccogliere informazioni su potenziali obiettivi, cercare vulnerabilità note e facilitare le attività post-intrusione come eludere le difese. Sembra, in pratica, che abbiano utilizzato la tecnologia più come un assistente di ricerca che come una risorsa strategica, affidandosi a essa per compiti destinati ad aumentare la produttività piuttosto che per sviluppare nuove tecniche di hacking. È quanto ha dichiarato la stessa Google. “L’intelligenza artificiale non è ancora una panacea” per gli attaccanti e “potrebbe in realtà essere uno strumento molto più importante per i difensori”, ha dichiarato Sandra Joyce, vicepresidente del settore threat intelligence di Google, al Wall Street Journal. “Il vero impatto è che stanno guadagnando efficienza. Possono operare più velocemente e scalare”.

I principali utilizzatori di Gemini sono stati gli hacker iraniani, che hanno sfruttato questa tecnologia per diverse attività, tra cui la ricerca su organizzazioni di difesa, la ricerca di vulnerabilità e la creazione di contenuti per campagne. In particolare, l’APT42, legato ai Pasdaran e noto anche come OilRig, si è concentrato su campagne di phishing, ricognizione su esperti e organizzazioni di difesa, e generazione di contenuti a tema cybersecurity. Più di dieci gruppi collegati all’Iran hanno utilizzato Gemini, perseguendo vari obiettivi come prendere di mira organizzazioni di difesa con tentativi di hacking e generare contenuti di phishing in più lingue.

Gli attori cinesi hanno utilizzato ampiamente Gemini per la ricognizione, scripting e sviluppo, risoluzione di problemi di codice, e la ricerca di metodi di accesso più profondi alle reti target. Le loro aree di interesse includevano movimenti laterali, escalation di privilegi, esfiltrazione di dati e evasione della rilevazione. Più di 20 gruppi collegati alla Cina hanno utilizzato la tecnologia sviluppata da Google, conducendo ricognizioni sui target e apprendendo tattiche specifiche di hacking.

Gli hacker nordcoreani, invece, hanno sfruttato Gemini per supportare diverse fasi del ciclo di attacco, come la ricerca di potenziali infrastrutture, fornitori di hosting gratuiti, ricognizione sulle organizzazioni target, sviluppo di payload, e tecniche di scripting e evasione malevoli. Hanno anche ricercato argomenti di interesse strategico per il governo nordcoreano, tra cui l’esercito sudcoreano e le criptovalute. Hanno utilizzato Gemini per redigere lettere di presentazione e ricercare lavori per collocare clandestinamente lavoratori IT presso aziende occidentali, generando notevoli entrate per supportare il loro programma di armi nucleari.

Infine, gli attori russi hanno mostrato un uso limitato di Gemini, concentrandosi principalmente su compiti di codifica banali. Questo includeva la conversione di malware pubblicamente disponibili in altri linguaggi di codifica e l’aggiunta di funzioni di crittografia a codice esistente.

Laura Galante, direttrice dello U.S. Cyber Threat Intelligence Integration Center sotto l’amministrazione Biden, ha affermato al Wall Street Journal che i nuovi dettagli pubblicati da Google sono piuttosto coerenti con le evidenze delle agenzie di intelligence statunitensi in merito a come gli avversari stanno cercando di sfruttare l’intelligenza artificiale generativa. I modelli linguistici di grandi dimensioni non sembrano essere “un punto di svolta” ma siamo ancora all’inizio, ha aggiunto.