Tra i principali utilizzatori figurano gruppi legati a Cina, Iran, Russia e Corea del Nord, con i primi due paesi che risultano i più attivi. In particolare, i cybercriminali iraniani hanno usato Gemini per ricerche su organizzazioni della difesa e per creare contenuti destinati a campagne di phishing in inglese, ebraico e farsi. Gli hacker cinesi, invece, si sono concentrati su tecniche per esfiltrare dati e aggirare le misure di sicurezza.
Criminal hacker legati alla Cina, all’Iran e ad altri governi stranieri stanno utilizzando tecnologie di intelligenza artificiale per potenziare i loro attacchi informatici contro obiettivi negli Stati Uniti e a livello globale.
Nell’ultimo anno, decine di gruppi di hacker in oltre 20 paesi hanno utilizzato il chatbot Gemini di Google per generare codice dannoso, individuare vulnerabilità informatiche note e raccogliere informazioni su potenziali bersagli, tra le altre attività, secondo gli esperti di sicurezza informatica di Google.
“L’IA non è ancora una soluzione miracolosa per i cybercriminali e potrebbe, anzi, rivelarsi uno strumento ancora più utile per chi si occupa di difesa”, ha dichiarato Sandra Joyce, vicepresidente della divisione di intelligence sulle minacce di Google. “Il vero impatto sta nell’aumento dell’efficienza: gli hacker ora possono operare più rapidamente e su scala più ampia.”
Attuali ed ex funzionari statunitensi ritengono che anche altri chatbot vengano sfruttati per scopi simili. Lo scorso anno, OpenAI ha rivelato che cinque gruppi di hacker stranieri avevano utilizzato ChatGPT e ha affermato di aver disattivato gli account ad essi associati. Quella stessa ricerca ha evidenziato che i cybercriminali non stavano usando ChatGPT per ideare attacchi innovativi o particolarmente sofisticati.
Una portavoce di Google ha dichiarato che l’azienda ha chiuso gli account coinvolti nelle attività dannose descritte nel rapporto, ma ha rifiutato di specificare quanti account siano stati effettivamente disattivati.
L’indagine ha rivelato che diversi gruppi di hacker avanzati – conosciuti come minacce persistenti avanzate (APT) – hanno utilizzato Gemini, con una prevalenza di gruppi cinesi e iraniani.
Secondo Google, oltre 20 gruppi legati alla Cina e almeno 10 affiliati all’Iran sono stati sorpresi a usare Gemini, rendendo questi due paesi i principali utenti del chatbot per scopi malevoli. I gruppi iraniani, in particolare, hanno mostrato l’uso più intensivo dello strumento, impiegandolo per raccogliere informazioni su organizzazioni di difesa da attaccare e per generare contenuti in inglese, ebraico e farsi da impiegare in campagne di phishing.
La Cina è stata il secondo paese per livello di attività su Gemini, secondo il rapporto. Gli hacker legati a Pechino hanno utilizzato il chatbot sia per attività di ricognizione sugli obiettivi sia per approfondire tecniche di hacking specifiche, come l’esfiltrazione di dati, l’elusione dei sistemi di rilevamento e l’elevazione dei privilegi una volta ottenuto l’accesso a una rete.
In Corea del Nord, gli hacker hanno sfruttato Gemini per scrivere lettere di presentazione per offerte di lavoro nella ricerca, probabilmente nel tentativo di infiltrare proprie spie in posizioni tecnologiche da remoto e ottenere, secondo funzionari statunitensi, centinaia di milioni di dollari per finanziare il programma nucleare del regime. La Russia, invece, ha fatto un uso relativamente limitato della piattaforma, impiegandola principalmente per attività banali legate alla programmazione.
Laura Galante, ex direttrice del Cyber Threat Intelligence Integration Center degli Stati Uniti durante l’amministrazione Biden, ha dichiarato che le nuove informazioni pubblicate da Google sono in linea con le valutazioni delle agenzie di intelligence statunitensi su come gli avversari stiano cercando di sfruttare l’IA generativa.
“Stanno utilizzando Gemini per affinare le loro liste di potenziali bersagli e probabilmente per migliorare l’efficacia delle operazioni condotte dagli esseri umani”, ha affermato Galante. Ha aggiunto che, sebbene i modelli linguistici di grandi dimensioni non rappresentino ancora un “punto di svolta” in termini di scala degli attacchi o di sviluppo di nuove tattiche sofisticate, siamo ancora nelle prime fasi del loro utilizzo.
Nonostante l’uso dell’IA generativa sia ancora relativamente limitato, sia gli Stati Uniti che la Cina la considerano una tecnologia cruciale per la supremazia futura. La recente notizia che DeepSeek, un’intelligenza artificiale sviluppata in Cina, sta competendo con i modelli AI di fascia alta a una frazione del costo ha scosso la Silicon Valley e Washington. A differenza di Google, i creatori di DeepSeek hanno rilasciato il codice sorgente del loro prodotto, rendendone più difficile il monitoraggio e praticamente impossibile vietarne l’uso improprio.
Il basso costo di DeepSeek potrebbe avere implicazioni significative per la sicurezza nazionale. Da anni, alti funzionari dell’intelligence statunitense avvertono che la Cina e altri paesi rivali stanno accelerando lo sviluppo e la diffusione di sistemi di IA per supportare, e in alcuni casi sostituire, le loro attuali operazioni militari e di intelligence.
In un post sul blog pubblicato mercoledì, Kent Walker, chief legal officer di Google, ha ribadito la necessità di mantenere i controlli sulle esportazioni di chip statunitensi e ha esortato il governo degli Stati Uniti, comprese le agenzie militari e di intelligence, ad aggiornare i processi di approvvigionamento per facilitare l’adozione di servizi basati sull’IA.
Sebbene gli esperti di sicurezza e i funzionari occidentali mettano in guardia da anni sui potenziali usi malevoli dell’intelligenza artificiale, il rapporto di Google rappresenta una delle prime analisi dettagliate su come gli avversari stranieri stiano concretamente sfruttando l’IA generativa per rafforzare le loro capacità di hacking.
Questa settimana, la piattaforma DeepSeek, sviluppata in Cina, ha ribaltato le previsioni internazionali su quanto Pechino sia avanzata nella corsa agli armamenti dell’IA, creando nuove incertezze globali su una tecnologia destinata a trasformare il lavoro, la diplomazia e la guerra.
Secondo il rapporto di Google, gruppi con legami noti con Cina, Iran, Russia e Corea del Nord hanno tutti utilizzato Gemini per supportare attività di hacking. Tuttavia, sembrano aver trattato la piattaforma più come uno strumento di ricerca che come una risorsa strategica, sfruttandola per aumentare la produttività piuttosto che per sviluppare nuove e sofisticate tecniche di attacco. Tutti e quattro i paesi hanno negato le accuse di cyberattacchi mosse dagli Stati Uniti.
English (US)