🔒 Google báo cáo các tin tặc được nhà nước hậu thuẫn sử dụng Gemini AI để hỗ trợ trinh sát và tấn công

Google hôm thứ Năm cho biết họ đã quan sát thấy tác nhân đe dọa liên quan đến Triều Tiên có tên UNC2970 sử dụng mô hình trí tuệ nhân tạo (AI) Gemini để tiến hành trinh sát các mục tiêu của mình, khi các nhóm hack khác nhau tiếp tục vũ khí hóa công cụ này để tăng tốc các giai đoạn khác nhau của vòng đời tấn công mạng, cho phép hoạt động thông tin và thậm chí tiến hành các cuộc tấn công trích xuất mô hình.

📋 Nội dung chi tiết

“Nhóm đã sử dụng Gemini để tổng hợp OSINT và lập hồ sơ các mục tiêu có giá trị cao nhằm hỗ trợ việc lập kế hoạch và trinh sát chiến dịch”, Nhóm Tình báo Mối đe dọa của Google (GTIG) cho biết trong một báo cáo được chia sẻ với The Hacker News. “Hồ sơ mục tiêu của diễn viên này bao gồm tìm kiếm thông tin về các công ty quốc phòng và an ninh mạng lớn, đồng thời lập bản đồ các vai trò công việc kỹ thuật cụ thể và thông tin về lương.”

Nhóm tình báo mối đe dọa của gã khổng lồ công nghệ đã mô tả hoạt động này là làm mờ ranh giới giữa những gì cấu thành nghiên cứu chuyên nghiệp thông thường và trinh sát độc hại, cho phép tác nhân được nhà nước hậu thuẫn tạo ra các nhân cách lừa đảo phù hợp và xác định các mục tiêu mềm để thỏa hiệp ban đầu.

UNC2970 là biệt danh được gán cho một nhóm hack của Triều Tiên trùng với một cụm được theo dõi là Lazarus Group, Diamond Sleet và Hidden Cobra. Nó nổi tiếng với việc dàn dựng một chiến dịch kéo dài có tên mã là Operation Dream Job nhằm nhắm mục tiêu vào các lĩnh vực hàng không vũ trụ, quốc phòng và năng lượng bằng phần mềm độc hại dưới chiêu bài tiếp cận nạn nhân với lý do là cơ hội việc làm.

GTIG cho biết UNC2970 đã "liên tục" tập trung vào việc nhắm mục tiêu quốc phòng và mạo danh các nhà tuyển dụng của công ty trong các chiến dịch của họ, với mục tiêu lập hồ sơ bao gồm tìm kiếm "thông tin về các công ty quốc phòng và an ninh mạng lớn cũng như lập bản đồ các vai trò công việc kỹ thuật cụ thể và thông tin về lương."

🔍 Thông tin bổ sung

UNC2970 không phải là kẻ đe dọa duy nhất đã lạm dụng Gemini để tăng cường khả năng của chúng và chuyển từ trinh sát ban đầu sang nhắm mục tiêu chủ động với tốc độ nhanh hơn. Một số nhóm hack khác đã tích hợp công cụ này vào quy trình làm việc của họ như sau -

UNC6418(Không được phân bổ), để tiến hành thu thập thông tin tình báo có mục tiêu, đặc biệt là tìm kiếm thông tin xác thực tài khoản và địa chỉ email nhạy cảm.

Temp.HEX hoặc Mustang Panda(Trung Quốc), để biên soạn hồ sơ về các cá nhân cụ thể, bao gồm các mục tiêu ở Pakistan, đồng thời thu thập dữ liệu hoạt động và cơ cấu về các tổ chức ly khai ở nhiều quốc gia khác nhau.

APT31 hoặc Judgement Panda(Trung Quốc), để tự động hóa việc phân tích các lỗ hổng và tạo ra các kế hoạch thử nghiệm có mục tiêu bằng cách tự nhận là nhà nghiên cứu bảo mật.

🔍 Thông tin bổ sung

APT41(Trung Quốc), để trích xuất các giải thích từ các trang README.md của công cụ nguồn mở, cũng như khắc phục sự cố và gỡ lỗi mã khai thác.

UNC795(Trung Quốc), để khắc phục sự cố mã của họ, tiến hành nghiên cứu và phát triển trình quét và trình bao web cho máy chủ web PHP.

APT42(Iran), để hỗ trợ việc trinh sát và kỹ thuật xã hội có mục tiêu bằng cách tạo ra các cá nhân thu hút sự tương tác từ các mục tiêu, cũng như phát triển công cụ quét Google Maps dựa trên Python, phát triển hệ thống quản lý thẻ SIM trong Rust và nghiên cứu việc sử dụng bằng chứng khái niệm (PoC) cho lỗ hổng WinRAR (CVE-2025-8088).

Google cũng cho biết họ đã phát hiện một phần mềm độc hại có tên HONESTCUE tận dụng API của Gemini để thuê ngoài tạo chức năng cho giai đoạn tiếp theo, cùng với một bộ lừa đảo do AI tạo ra có tên mã COINBAIT được xây dựng bằng Lovable AI và giả dạng là một sàn giao dịch tiền điện tử để thu thập thông tin xác thực. Một số khía cạnh của hoạt động liên quan đến COINBAIT được cho là do cụm mối đe dọa có động cơ tài chính có tên là UNC5356.

🔍 Thông tin bổ sung

“HONESTCUE là khung trình tải xuống và trình khởi chạy gửi lời nhắc thông qua API của Google Gemini và nhận mã nguồn C# dưới dạng phản hồi”, nó cho biết. “Tuy nhiên, thay vì tận dụng LLM để tự cập nhật, HONESTCUE gọi API Gemini để tạo mã vận hành chức năng ‘giai đoạn hai’, tải xuống và thực thi một phần mềm độc hại khác.”

Giai đoạn thứ cấp không dùng tệp của HONESTCUE sau đó lấy mã nguồn C# được tạo nhận được từ API Gemini và sử dụng .NETCSharpCodeProviderframework hợp pháp để biên dịch và thực thi tải trọng trực tiếp trong bộ nhớ, do đó không để lại thành phần lạ nào trên đĩa.

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.