Google Threat Intelligence Group (GTIG) опубликовала квартальный отчёт об использовании ИИ злоумышленниками. Главный вывод: правительственные группировки из КНДР, Ирана, Китая и России применяют Gemini на всех стадиях атак, от разведки и составления фишинговых писем до разработки вредоносного кода и управления заражёнными машинами.
Иранская APT42 использует Gemini для сбора данных о жертвах и создания убедительных поводов для переписки, модель получает биографию цели и генерирует сценарий, который заставит человека ответить. Северокорейская UNC2970 через Gemini составляет профили сотрудников оборонных компаний, выясняя должности и зарплаты для правдоподобных писем от лица рекрутеров. Китайские группировки, включая APT31, запрашивают у модели анализ уязвимостей и способы обхода защитных экранов конкретных целей в США.
Отдельно GTIG описала вредонос HONESTCUE, обнаруженный в сентябре 2025 года: он отправляет запрос к API Gemini, получает исходный код на C#, компилирует его в оперативной памяти и запускает, без записи на диск. Это усложняет обнаружение как сетевыми средствами, так и статическим анализом.
Ещё одна тенденция, попытки «дистилляции»: злоумышленники систематически опрашивают модель через API, чтобы воспроизвести её логику рассуждений и обучить на ответах собственную модель без защитных ограничений. Google зафиксировала кампанию из более чем 100 тысяч запросов, нацеленных именно на извлечение внутренней цепочки рассуждений Gemini. Атаки исходили не от APT-группировок, а от частных компаний и исследователей по всему миру. Google заблокировала учётные записи и проекты, связанные с этой активностью.
При этом GTIG подчёркивает:
Прорывных возможностей, принципиально меняющих ландшафт угроз, ИИ пока не дал ни одной группировке. Но ускорение рутинных операций, от разведки до написания кода, уже заметно.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
