Redação YTI&W-News
Índice
Google Relata que Estado-Sustentados Hackers Usam Técnicas de Inteligência Artificial para Ataques Cibernéticos
Em uma reportagem recente, a Google revelou que observou o grupo de hackers conhecido como UNC2970, ligado à Coreia do Norte, utilizando seu modelo de inteligência artificial (IA) chamado Gemini para realizar reconhecimento em seus alvos. Isso ocorre enquanto vários grupos de hackers continuam a utilizar a ferramenta para acelerar as fases de um ataque cibernético, realizar operações de informação e até mesmo realizar ataques de extração de modelos.
Como os hackers estão utilizando a inteligência artificial
- O grupo UNC2970 usou o Gemini para sintetizar informações abertas (OSINT) e criar perfis de alvos de alto valor para apoiar a planificação de campanhas e o reconhecimento.
- Essa atividade foi caracterizada como uma blurring das fronteiras entre o que constitui uma pesquisa profissional rotineira e o reconhecimento mal-intencionado, permitindo que o grupo de hackers criasse perfis de phishing personalizados e identificasse alvos fracos para o compromisso inicial.
Outros grupos de hackers também estão utilizando a inteligência artificial
- O grupo UNC6418 (sem atribuição) usou o Gemini para realizar inteligência de alvo direcionada, procurando por credenciais de conta sensíveis e endereços de e-mail.
- O grupo Temp.HEX ou Mustang Panda (China) usou o Gemini para criar um dossiê sobre indivíduos específicos, incluindo alvos no Paquistão, e coletar dados operacionais e estruturais sobre organizações separatistas em vários países.
- O grupo APT31 ou Judgement Panda (China) usou o Gemini para automatizar a análise de vulnerabilidades e gerar planos de teste direcionados, apresentando-se como um pesquisador de segurança.
- O grupo APT41 (China) usou o Gemini para extrair explicações de páginas README.md de ferramentas de código aberto, além de debugar e depurar código de exploração.
- O grupo UNC795 (China) usou o Gemini para depurar seu código, realizar pesquisas e desenvolver shells de web e scanners para servidores web PHP.
- O grupo APT42 (Irã) usou o Gemini para realizar reconhecimento e engenharia social direcionada, criando perfis que induzem a engajamento dos alvos, além de desenvolver um raspador de maps do Google em Python, um sistema de gerenciamento de cartões SIM em Rust e pesquisou o uso de um PoC para uma falha em WinRAR (CVE-2025-8088).
Malware e kits de phishing
- A Google também detectou um malware chamado HONESTCUE que utiliza a API do Gemini para gerar código-fonte em C# para a próxima fase.
- O malware HONESTCUE é um framework de download e lançamento que envia uma solicitação via API do Gemini e recebe código-fonte em C# como resposta.
- O arquivo secundário sem arquivo do HONESTCUE então usa o código-fonte em C# recebido da API do Gemini e compila e executa o payload diretamente na memória, deixando sem artefatos no disco.
- A Google também chamou a atenção para uma onda recente de campanhas ClickFix que utilizam a característica de compartilhamento público de serviços de IA gerativa para hospedar instruções realistas para resolver um problema comum de computador e, eventualmente, entregar malware de roubo de informações.
- A atividade foi flagrada em dezembro de 2025 pela Huntress.
- A Google também identificou e interrompeu ataques de extração de modelos que visam sistematicamente consultar um modelo de aprendizado de máquina proprietário para extrair informações e criar um modelo substituto que imita o comportamento do alvo.
- Em um ataque de grande escala desse tipo, o Gemini foi alvo de mais de 100.000 prompts que apresentavam uma série de perguntas destinadas a replicar a capacidade de razoamento do modelo em uma ampla gama de tarefas em línguas não inglesas.
Fontes: The Hacker News. Curadoria e Insights: Redação YTI&W.
Compartilhe com sua equipe!
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- Avaliação Técnica: 83% dos Exploits de Ivanti EPMM Vêm de uma Única IP 12 de Fevereiro, 2026
- Dossiê Técnico: Primeiro Adicionais Maliciosos do Outlook Detectados no Mundo 11 de Fevereiro, 2026
- APT36 e SideCopy Lançam Campanhas Cruzadas para Comprometer Ambientes Windows e Linux 11 de Fevereiro, 2026
- UNC1069: Ator de Ameaças Ligado à Coreia do Norte Utiliza Inteligência Artificial para Roubo de Dados de Criptomoedas 11 de Fevereiro, 2026
- Operativos da Coreia do Norte Impersonam Profissionais de Tecnologia para Obter Empregos Remotos 10 de Fevereiro, 2026
