Nel mondo della sicurezza informatica, l'intelligenza artificiale sta diventando un'arma sempre più potente nelle mani di gruppi di minacce supportati da stati nazionali. Recentemente, Google ha rivelato che oltre 57 gruppi di minacce statali stanno utilizzando l'intelligenza artificiale per migliorare le loro operazioni di cyber e di informazione. Questi gruppi, con legami con nazioni come Cina, Iran, Corea del Nord e Russia, stanno sperimentando tecnologie avanzate come Gemini per aumentare l'efficacia delle loro operazioni.

Utilizzo dell'AI da parte dei gruppi di minacce

Secondo il Google Threat Intelligence Group (GTIG), questi attori sfruttano l'AI principalmente per attività di ricerca, risoluzione di problemi di codice e creazione di contenuti localizzati. Gli attacchi sponsorizzati dai governi, noti come gruppi APT (Advanced Persistent Threat), utilizzano queste tecnologie per diverse fasi del ciclo di attacco. Queste includono lo sviluppo di payload, la raccolta di informazioni su potenziali bersagli, lo studio di vulnerabilità note e il supporto ad attività post-compromesso come l'evasione delle difese.

Focus sui gruppi specifici

In particolare, i gruppi di attacco iraniani sono stati identificati come i più assidui utilizzatori di Gemini. Il gruppo APT42, noto per le sue sofisticate campagne di phishing e di social engineering, utilizza l'AI per condurre ricognizioni su esperti di difesa e organizzazioni, oltre a generare contenuti a tema cybersecurity. Questo gruppo è noto per infiltrarsi in reti di target occidentali e mediorientali, spesso fingendosi giornalisti o organizzatori di eventi.

Anche i gruppi APT cinesi sfruttano Gemini per operazioni di ricognizione e per penetrare profondamente nelle reti delle vittime attraverso tecniche avanzate come il movimento laterale e l'escalation dei privilegi. Al contrario, i gruppi russi utilizzano l'AI principalmente per convertire malware noti in altri linguaggi di programmazione, mentre gli attori nordcoreani si concentrano sulla ricerca di infrastrutture e fornitori di hosting.

Uso dell'AI in Corea del Nord

Un aspetto interessante è l'uso dell'AI da parte della Corea del Nord per redigere lettere di presentazione e ricercare opportunità di lavoro su piattaforme come LinkedIn. Questo potrebbe essere parte di uno sforzo più ampio per inserire lavoratori IT clandestini in aziende occidentali.

Emergenza di modelli di linguaggio maligni

Google segnala anche l'emergere di versioni maligne di modelli di linguaggio di grandi dimensioni, progettate per generare risposte senza vincoli di sicurezza o etica. Queste includono strumenti come WormGPT e FraudGPT, utilizzati per creare email di phishing personalizzate e attacchi BEC (Business Email Compromise).

Collaborazione per la difesa

L'azienda sottolinea l'importanza della collaborazione tra pubblico e privato per rafforzare le difese cyber e interrompere le minacce. Google continua a implementare difese contro attacchi di iniezione di prompt, evidenziando la necessità di un'azione congiunta tra l'industria americana e il governo per proteggere la sicurezza nazionale ed economica.