Publié le 12 février 2024 15:01:00. Des groupes de pirates informatiques liés à des États, notamment la Chine, la Corée du Nord et l’Iran, exploitent l’intelligence artificielle Gemini de Google pour intensifier leurs cyberattaques, affiner leurs logiciels malveillants et collecter des renseignements sur leurs cibles.
- Des acteurs malveillants utilisent Gemini pour accélérer la reconnaissance de leurs cibles et automatiser des tâches complexes comme la création de profils et la rédaction d’emails de phishing.
- Le groupe iranien APT42 a utilisé Gemini pour élaborer des scénarios de phishing plus crédibles et traduire des messages pour des attaques ciblées.
- Un nouveau logiciel malveillant, HONESTCUE, exploite directement l’API de Gemini pour générer du code et obscurcir ses activités, rendant sa détection plus difficile.
L’intelligence artificielle devient un outil de plus en plus prisé par les cybercriminels soutenus par des États, leur permettant d’accroître l’efficacité et la portée de leurs opérations. Google a identifié et neutralisé certains des actifs utilisés par ces groupes, mais reconnaît que la menace persiste.
Selon le Threat Intelligence Group (GTIG) de Google, des groupes basés en Chine utilisent Gemini pour compiler des informations sur des individus au Pakistan et sur des organisations séparatistes dans divers pays. L’entreprise a admis que la campagne menée par ces acteurs ciblait des entités similaires au Pakistan. John Hultquist, analyste en chef chez GTIG, explique qu’il est difficile de comparer l’utilisation de Gemini par les différents États, la Corée du Nord et l’Iran étant pionniers dans l’utilisation de l’IA pour améliorer leurs techniques d’ingénierie sociale, tandis que les acteurs chinois développent une variété d’applications plus larges.
Cette tendance s’inscrit dans une dynamique observée depuis plusieurs années, comme le montrent les rapports d’autres entreprises d’IA, notamment OpenAI et Microsoft, qui ont également signalé des activités similaires de la part de pirates informatiques liés à des États. Des pirates chinois ont également été identifiés comme utilisant l’IA pour mener des cyberattaques.
Jusqu’à présent, les groupes de menaces persistantes avancées (APT) utilisent les grands modèles de langage (LLM) comme Gemini pour automatiser des tâches qui nécessitaient auparavant un travail manuel considérable, telles que le profilage d’organisations, la recherche de cibles de grande valeur et la création d’emails de phishing convaincants. Gemini permet aux acteurs malveillants de passer « de la reconnaissance initiale au ciblage actif à un rythme plus rapide et à plus grande échelle », selon le GTIG.
Le groupe iranien APT42 – également connu sous les noms de GreenCharlie, Charming Kitten et Mint Sandstorm – a notamment utilisé Gemini pour rechercher des adresses email officielles et identifier des partenaires commerciaux potentiels afin de concevoir des prétextes crédibles pour des attaques de phishing. Ce groupe a déjà été impliqué dans l’usurpation d’identité de médias et de think tanks et a ciblé des journalistes israéliens, des professionnels de la cybersécurité et des professeurs d’informatique avec des emails de phishing. Ils ont même utilisé Gemini pour créer des personnages et des scénarios susceptibles d’inciter leurs cibles à interagir.
APT42 a également exploité Gemini pour traduire des emails de phishing et mieux comprendre les nuances culturelles et linguistiques, ainsi que pour accélérer le développement de logiciels malveillants et d’outils offensifs.
Un groupe nord-coréen ciblant le secteur de la défense a utilisé Gemini pour synthétiser des renseignements open source (OSINT) et profiler des cibles de grande valeur afin de planifier ses campagnes et de mener des activités de reconnaissance. Le groupe a notamment recherché des informations sur les principales entreprises de cybersécurité et de défense, ainsi que sur les postes techniques et les salaires.
Parallèlement, divers groupes chinois sophistiqués ont déployé Gemini pour automatiser l’analyse des vulnérabilités et générer des plans de tests ciblés. Au moins un groupe a créé un faux scénario et a demandé à Gemini de tester des techniques de contournement contre des cibles spécifiques aux États-Unis, automatisant ainsi la collecte de renseignements pour identifier les faiblesses de la défense organisationnelle. Un autre groupe basé en Chine aurait utilisé Gemini plusieurs jours par semaine pour déboguer son code et effectuer des recherches sur des types spécifiques de bogues.
Le rapport de Google souligne également que des groupes menaçants de Chine, d’Iran, de Russie et d’Arabie saoudite utilisent également Gemini pour produire de la satire politique et de la propagande.
Les chercheurs de Google ont également confirmé des recherches antérieures de Cato Networks révélant que des cybercriminels expérimentent avec des logiciels malveillants intégrant les fonctionnalités des LLM directement dans une chaîne d’attaque.
En septembre, les chercheurs du GTIG ont découvert des échantillons de logiciels malveillants, nommés HONESTCUE, qui exploitaient l’API de Gemini pour externaliser la génération de fonctionnalités. Selon les chercheurs, « l’intégration de l’IA par l’adversaire est probablement conçue pour soutenir une approche multicouche de l’obscurcissement en sapant la détection traditionnelle basée sur le réseau et l’analyse statique ». HONESTCUE est un framework de téléchargement et de lancement qui envoie une requête à l’API de Gemini et reçoit du code source C# en réponse, exploitant ainsi la fonctionnalité « étape deux » pour télécharger et exécuter un autre logiciel malveillant.
Le GTIG n’a pas encore associé ce malware à un groupe d’activités de menace existant, mais soupçonne qu’il a été développé par des personnes possédant une expertise technique limitée. Les modifications itératives mineures sur de nombreux échantillons et le seul émetteur de VirusTotal suggèrent un acteur unique ou un petit groupe.