China, Rússia e Coreia do Norte intensificam uso de IA em ciberataques, segundo Google

O relatório, intitulado 'AI Threat Tracker' ('Rastreador de Ameaças de IA'), sostém que cibercriminosos e grupos estatais passaram de experimentar com modelos de IA a integrá-los de forma massiva em suas operações, desde a descoberta de falhas de segurança até a automatização de ataques e a criação de conteúdo falso.

Entre os achados mais destacados da divisão do Google dedicada à inteligência sobre ameaças cibernéticas figura a primeira evidência de um "ataque de dia zero" desenvolvido com ajuda de IA. Segundo o relatório, um grupo criminoso utilizou esse modelo para identificar e explorar uma vulnerabilidade que permitia contornar sistemas de autenticação de dois fatores (2FA) em uma popular ferramenta de administração web cujo nome não revelou.

Conforme Google, a empresa conseguiu detectar a falha antes de ser explorada de forma massiva e notificou o provedor afetado.

O relatório também detalha que atores vinculados à China e Coreia do Norte estão empregando a IA para acelerar a busca e a análise de vulnerabilidades registradas (CVE, pela sigla em inglês), bem como o exame de firmware de dispositivos.

Google aponta ainda que grupos associados à Rússia incorporaram IA em campanhas de desinformação, entre elas a operação pró-russa "Operation Overload", na qual foram empregadas ferramentas de clonagem de voz para se passar por jornalistas reais e difundir vídeos manipulados direcionados a audiências dos EUA, Ucrânia e França.

A investigação descreve igualmente uma nova geração de malware "autônomo" capaz de interpretar o ambiente da vítima e tomar decisões sem intervenção humana.

Um dos exemplos é PROMPTSPY, uma porta traseira para Android que utiliza o modelo Gemini do Google para analisar a interface do dispositivo e executar ações automaticamente, como clicar em botões, percorrer menus ou manter o malware no sistema.

O relatório destaca ainda uma mudança qualitativa no uso da IA em ciberataques, já que alguns programas maliciosos já não apenas utilizam esses modelos como ferramenta de apoio, mas são capazes de tomar decisões de forma autônoma dentro dos sistemas infectados.

Google também adverte que alguns hackers estão atacando o software que as empresas usam em lugar de atacá-las diretamente, com casos como o do grupo chamado TeamPCP que teria infectado ferramentas e repositórios de código para se introduzir nos sistemas quando as empresas os baixam.

Uma vez dentro, roubam senhas e chaves de acesso a serviços em nuvem e a sistemas internos de desenvolvimento.

Segundo o relatório, os atacantes buscam especialmente plataformas e ferramentas utilizadas para integrar modelos de IA em empresas, já que permitem acessar dados sensíveis e infraestruturas corporativas.

"Existe a ideia equivocada de que a corrida pela vulnerabilidade da IA é iminente. A realidade é que já começou", afirma no relatório John Hultquist, analista-chefe da GTIG, que adverte que a IA está permitindo aos hackers "aumentar a velocidade" de seus ataques e a sofisticação deles de forma significativa.