📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Google disse na quinta-feira que observou o ator de ameaça ligado à Coreia do Norte conhecido como UNC2970 usando seu modelo generativo de inteligência artificial (IA) Gemini para realizar o reconhecimento de seus alvos, enquanto vários grupos de hackers continuam a transformar a ferramenta em armas para acelerar várias fases do ciclo de vida do ataque cibernético, permitindo operações de informação e até mesmo conduzindo ataques de extração de modelo.
“O grupo usou o Gemini para sintetizar OSINT e traçar o perfil de alvos de alto valor para apoiar o planejamento e reconhecimento de campanha”, disse o Google Threat Intelligence Group (GTIG) em um relatório compartilhado com o The Hacker News. “O perfil alvo deste ator incluía a busca de informações sobre as principais empresas de segurança cibernética e de defesa e o mapeamento de funções técnicas específicas e informações salariais.”
A equipa de inteligência de ameaças do gigante tecnológico caracterizou esta actividade como uma indefinição das fronteiras entre o que constitui investigação profissional de rotina e reconhecimento malicioso, permitindo ao actor apoiado pelo Estado criar personas de phishing personalizadas e identificar alvos fáceis para compromisso inicial.
UNC2970 é o apelido atribuído a um grupo de hackers norte-coreano que se sobrepõe a um cluster rastreado como Lazarus Group, Diamond Sleet e Hidden Cobra. É mais conhecido por orquestrar uma campanha de longa duração chamada Operação Dream Job para atingir os setores aeroespacial, de defesa e de energia com malware sob o pretexto de abordar as vítimas sob o pretexto de vagas de emprego.
O GTIG disse que o UNC2970 tem se concentrado "consistentemente" no direcionamento da defesa e na representação de recrutadores corporativos em suas campanhas, com o perfil do alvo incluindo pesquisas por "informações sobre as principais empresas de segurança cibernética e defesa e mapeamento de funções técnicas específicas e informações salariais".
O UNC2970 está longe de ser o único ator de ameaça que utilizou indevidamente o Gemini para aumentar suas capacidades e passar do reconhecimento inicial para a segmentação ativa em um ritmo mais rápido. Algumas das outras equipes de hackers que integraram a ferramenta em seus fluxos de trabalho são as seguintes:
UNC6418 (não atribuído), para conduzir coleta de inteligência direcionada, buscando especificamente credenciais de contas e endereços de e-mail confidenciais.
Temp.HEX ou Mustang Panda (China), para compilar um dossiê sobre indivíduos específicos, incluindo alvos no Paquistão, e para recolher dados operacionais e estruturais sobre organizações separatistas em vários países.
APT31 ou Judgment Panda (China), para automatizar a análise de vulnerabilidades e gerar planos de testes direcionados, alegando ser um pesquisador de segurança.
APT41 (China), para extrair explicações das páginas README.md da ferramenta de código aberto, bem como solucionar problemas e depurar código de exploração.
UNC795 (China), para solucionar problemas de código, realizar pesquisas e desenvolver web shells e scanners para servidores web PHP.
APT42 (Irã), para facilitar o reconhecimento e a engenharia social direcionada, criando personas que induzam o envolvimento dos alvos, bem como desenvolver um raspador do Google Maps baseado em Python, desenvolver um sistema de gerenciamento de cartão SIM em Rust e pesquisar o uso de uma prova de conceito (PoC) para uma falha WinRAR (CVE-2025-8088).
O Google também disse que detectou um malware chamado HONESTCUE que aproveita a API do Gemini para terceirizar a geração de funcionalidades para o próximo estágio, junto com um kit de phishing gerado por IA de codinome COINBAIT que é construído usando Lovable AI e se disfarça como uma troca de criptomoedas para coleta de credenciais. Alguns aspectos da atividade relacionada ao COINBAIT foram atribuídos a um grupo de ameaças com motivação financeira denominado UNC5356.
“HONESTCUE é uma estrutura de download e inicialização que envia um prompt por meio da API do Google Gemini e recebe o código-fonte C# como resposta”, disse. "No entanto, em vez de aproveitar um LLM para se atualizar, o HONESTCUE chama a API Gemini para gerar código que opera a funcionalidade do 'estágio dois', que baixa e executa outro malware."
O estágio secundário sem arquivo do HONESTCUE pega o código-fonte C# gerado recebido da API Gemini e usa a estrutura .NET CSharpCodeProvider legítima para compilar e executar a carga diretamente na memória, não deixando nenhum artefato no disco.
O Google também chamou a atenção para uma onda recente de campanhas ClickFix que aproveitam o recurso de compartilhamento público de serviços generativos de IA para hospedar instruções de aparência realista para corrigir um problema comum de computador e, em última análise, fornecer malware que rouba informações. A atividade foi sinalizada em dezembro de 2025 pela Huntress.
Por último, a empresa disse que identificou e interrompeu ataques de extração de modelos que visam consultar sistematicamente um modelo proprietário de aprendizado de máquina para extrair informações e construir um modelo substituto que espelhe o comportamento do alvo. Num ataque em grande escala deste tipo, o Gemini foi alvo de mais de 100.000 avisos
“O grupo usou o Gemini para sintetizar OSINT e traçar o perfil de alvos de alto valor para apoiar o planejamento e reconhecimento de campanha”, disse o Google Threat Intelligence Group (GTIG) em um relatório compartilhado com o The Hacker News. “O perfil alvo deste ator incluía a busca de informações sobre as principais empresas de segurança cibernética e de defesa e o mapeamento de funções técnicas específicas e informações salariais.”
A equipa de inteligência de ameaças do gigante tecnológico caracterizou esta actividade como uma indefinição das fronteiras entre o que constitui investigação profissional de rotina e reconhecimento malicioso, permitindo ao actor apoiado pelo Estado criar personas de phishing personalizadas e identificar alvos fáceis para compromisso inicial.
UNC2970 é o apelido atribuído a um grupo de hackers norte-coreano que se sobrepõe a um cluster rastreado como Lazarus Group, Diamond Sleet e Hidden Cobra. É mais conhecido por orquestrar uma campanha de longa duração chamada Operação Dream Job para atingir os setores aeroespacial, de defesa e de energia com malware sob o pretexto de abordar as vítimas sob o pretexto de vagas de emprego.
O GTIG disse que o UNC2970 tem se concentrado "consistentemente" no direcionamento da defesa e na representação de recrutadores corporativos em suas campanhas, com o perfil do alvo incluindo pesquisas por "informações sobre as principais empresas de segurança cibernética e defesa e mapeamento de funções técnicas específicas e informações salariais".
O UNC2970 está longe de ser o único ator de ameaça que utilizou indevidamente o Gemini para aumentar suas capacidades e passar do reconhecimento inicial para a segmentação ativa em um ritmo mais rápido. Algumas das outras equipes de hackers que integraram a ferramenta em seus fluxos de trabalho são as seguintes:
UNC6418 (não atribuído), para conduzir coleta de inteligência direcionada, buscando especificamente credenciais de contas e endereços de e-mail confidenciais.
Temp.HEX ou Mustang Panda (China), para compilar um dossiê sobre indivíduos específicos, incluindo alvos no Paquistão, e para recolher dados operacionais e estruturais sobre organizações separatistas em vários países.
APT31 ou Judgment Panda (China), para automatizar a análise de vulnerabilidades e gerar planos de testes direcionados, alegando ser um pesquisador de segurança.
APT41 (China), para extrair explicações das páginas README.md da ferramenta de código aberto, bem como solucionar problemas e depurar código de exploração.
UNC795 (China), para solucionar problemas de código, realizar pesquisas e desenvolver web shells e scanners para servidores web PHP.
APT42 (Irã), para facilitar o reconhecimento e a engenharia social direcionada, criando personas que induzam o envolvimento dos alvos, bem como desenvolver um raspador do Google Maps baseado em Python, desenvolver um sistema de gerenciamento de cartão SIM em Rust e pesquisar o uso de uma prova de conceito (PoC) para uma falha WinRAR (CVE-2025-8088).
O Google também disse que detectou um malware chamado HONESTCUE que aproveita a API do Gemini para terceirizar a geração de funcionalidades para o próximo estágio, junto com um kit de phishing gerado por IA de codinome COINBAIT que é construído usando Lovable AI e se disfarça como uma troca de criptomoedas para coleta de credenciais. Alguns aspectos da atividade relacionada ao COINBAIT foram atribuídos a um grupo de ameaças com motivação financeira denominado UNC5356.
“HONESTCUE é uma estrutura de download e inicialização que envia um prompt por meio da API do Google Gemini e recebe o código-fonte C# como resposta”, disse. "No entanto, em vez de aproveitar um LLM para se atualizar, o HONESTCUE chama a API Gemini para gerar código que opera a funcionalidade do 'estágio dois', que baixa e executa outro malware."
O estágio secundário sem arquivo do HONESTCUE pega o código-fonte C# gerado recebido da API Gemini e usa a estrutura .NET CSharpCodeProvider legítima para compilar e executar a carga diretamente na memória, não deixando nenhum artefato no disco.
O Google também chamou a atenção para uma onda recente de campanhas ClickFix que aproveitam o recurso de compartilhamento público de serviços generativos de IA para hospedar instruções de aparência realista para corrigir um problema comum de computador e, em última análise, fornecer malware que rouba informações. A atividade foi sinalizada em dezembro de 2025 pela Huntress.
Por último, a empresa disse que identificou e interrompeu ataques de extração de modelos que visam consultar sistematicamente um modelo proprietário de aprendizado de máquina para extrair informações e construir um modelo substituto que espelhe o comportamento do alvo. Num ataque em grande escala deste tipo, o Gemini foi alvo de mais de 100.000 avisos
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #google #relata #hackers #apoiados #pelo #estado #usando #gemini #ai #para #reconhecimento #e #suporte #a #ataques
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário