Openai ha rivelato Il fatto che abbia vietato una serie di account CHATGPT che probabilmente sono stati gestiti da attori delle minacce di lingua russa e due gruppi di hacking dello stato-nazione cinesi per aiutare con lo sviluppo del malware, l’automazione dei social media e la ricerca sulle tecnologie di comunicazione satellitare statunitensi, tra le altre cose.
“L’attore (di lingua russa) ha utilizzato i nostri modelli per aiutare a sviluppare e perfezionare il malware di Home windows, del debug del codice in più lingue e impostare le loro infrastrutture di comando e controllo”, ha affermato Openai nel suo rapporto di intelligence sulle minacce. “L’attore ha dimostrato la conoscenza degli interni di Home windows ed ha mostrato alcuni comportamenti di sicurezza operativa.”
La campagna di malware basata su GO è stata in codice Scopecreep dalla società di intelligenza artificiale (AI). Non ci sono show che l’attività fosse diffusa di natura.
L’attore di minaccia, per Openi, ha utilizzato account di posta elettronica temporanei per iscriversi a Chatgpt, usando ciascuno degli account creati per avere una conversazione per apportare un singolo miglioramento incrementale al loro software program dannoso. Successivamente hanno abbandonato l’account e sono passati al successivo.
Questa pratica di utilizzare una rete di account per perfezionare il loro codice evidenzia l’attenzione dell’avversario sulla sicurezza operativa (OPSEC), ha aggiunto Openai.
Gli aggressori hanno quindi distribuito il malware assistito dall’IA attraverso un repository di codice disponibile pubblicamente che ha impersonato uno strumento legittimo di overlay di videogiochi chiamato CHARCHAIR X.. Gli utenti che hanno finito per scaricare la versione trojanizzata del software program hanno infettato i loro sistemi da un caricatore di malware che avrebbe quindi proceduto a recuperare carichi utili da un server esterno ed eseguirli.
“Da lì, il malware è stato progettato per avviare un processo a più stadi per intensificare i privilegi, stabilire una persistenza furtiva, avvisare l’attore delle minacce ed esfiltrare i dati sensibili mentre elude il rilevamento”, ha affermato Openai.
“Il malware è progettato per intensificare i privilegi rilanciando con Shelexecutew e tenta di eludere il rilevamento utilizzando PowerShell per escludersi a livello di programmazione dal difensore di Home windows, sopprimere le finestre della console e inserire ritardi dei tempi.”
Tra le altre tattiche incorporate da ScopeCreep includono l’uso di codifica Base64 per offuscare i payload, le tecniche di caricamento laterale DLL e i proxy Socks5 per nascondere i loro indirizzi IP di origine.
L’obiettivo finale del malware è raccogliere credenziali, token e cookie memorizzati nei browser Internet ed esfiltrarli all’attaccante. È inoltre in grado di inviare avvisi a un canale telegramma gestito dagli attori delle minacce quando le nuove vittime sono compromesse.
Openai ha osservato che l’attore di minaccia ha chiesto ai suoi modelli di eseguire il debug di uno snippet di codice GO relativo a una richiesta HTTPS, nonché un aiuto richiesto con l’integrazione dell’API di Telegram e l’utilizzo dei comandi PowerShell tramite GO per modificare le impostazioni di Home windows Defender, in particolare quando si tratta di aggiungere esclusioni antivirus.
Si cube che il secondo gruppo di account CHATGPT disabilitati da OpenAI sia associato a due gruppi di hacking attribuiti alla Cina: ATP5 (AKA Bronze Fleetwood, Panda del buco della serratura, Manganese e UNC2630) e Apt15 (Aka Flea, Nylon Storm, Tourus giocoso, Royal Apt e Vixen Panda)
Mentre un sottoinsieme si è impegnato con l’IA Chatbot su questioni relative alla ricerca open supply su varie entità di interesse e argomenti tecnici, nonché per modificare gli script o le configurazioni del sistema di risoluzione dei problemi.
“Un altro sottoinsieme degli attori della minaccia sembrava tentare di impegnarsi nello sviluppo di attività di supporto tra cui l’amministrazione del sistema Linux, lo sviluppo del software program e la configurazione delle infrastrutture”, ha affermato Openai. “Per queste attività, gli attori delle minacce hanno utilizzato i nostri modelli per risolvere le configurazioni, modificare il software program ed eseguire ricerche sui dettagli dell’implementazione.”
Ciò consisteva nel chiedere pacchetti software program per la costruzione di assistenza per la distribuzione offline e i consigli relativi ai firewall configurati e ai server di nome. Gli attori delle minacce si sono impegnati nelle attività di sviluppo delle app Internet e Android.
Inoltre, i cluster collegati in Cina hanno armato chatgpt per lavorare su uno script di forza bruta che può entrare nei server FTP, ricerche sull’uso di modelli di grande lingua (LLMS) per automatizzare i check di penetrazione e sviluppare codice per gestire una flotta di dispositivi Android per pubblicare o come contenuti come su piattaforme di social media come Fb, Instagram, Tiktok e X.
Alcuni degli altri gruppi di attività dannosi osservati che hanno sfruttato il chatgpt in modi nefasti sono elencati di seguito –
- Una rete, coerente con il Schema di lavoratori IT della Corea del Nordche utilizzava i modelli di Openi per guidare campagne di lavoro ingannevoli sviluppando materiali che potrebbero probabilmente far avanzare i loro tentativi fraudolenti di candidarli, ingegneria del software program e altri lavori remoti in tutto il mondo
- Recensione del ghignouna probabile attività di origine in Cina che ha utilizzato i modelli di Openi per generare put up sui social media in inglese, cinese e urdu su argomenti di rilevanza geopolitica per il paese per la condivisione su Fb, Reddit, Tiktok e X
- Operation Excessive 5un’attività di origine filippina che ha utilizzato i modelli di Openi per generare volumi sfusi di brevi commenti in inglese e taglish su argomenti relativi alla politica e agli eventi attuali nelle Filippine per la condivisione su Fb e Tiktok
- Operation Imprecise Focusun’attività di origine in Cina che ha utilizzato i modelli di Openai per generare put up sui social media per la condivisione su X posando come giornalisti e analisti geopolitici, ponendo domande sugli strumenti di attacco e sfruttamento della rete di pc e tradurre e-mail e messaggi dal cinese all’inglese come parte dei sospetti tentativi di ingegneria sociale sociale
- Operation Helgoland Chunkuna probabile attività della Russia-origine che ha utilizzato i modelli di Openi per generare contenuti in lingua russa sulle elezioni tedesche del 2025 e criticato gli Stati Uniti e la NATO, per la condivisione su Telegram e X
- Operation zio spamun’attività di origine in Cina che ha utilizzato i modelli di Openi per generare contenuti polarizzati sui social media a sostegno di entrambe le parti di argomenti di divisione all’interno del discorso politico statunitense per la condivisione su Bluesky e X
- Storm-2035un’operazione di influenza iraniana che ha utilizzato i modelli di Openai per generare brevi commenti in inglese e spagnolo che hanno espresso sostegno per i diritti latini, l’indipendenza scozzese, la riunificazione irlandese e i diritti palestinesi e ha elogiato la promozione militare e diplomatica dell’Iran per la condivisione su X da parte di conti inautentici in posa come residenti degli Stati Uniti, Regno Unito, Eire e Venera.
- Numero errato dell’operazioneuna probabile attività di origine cambogiana relativa ai sindacati delle attività di attività gestite in Cina che hanno utilizzato i modelli di Openi per generare brevi messaggi in stile reclutamento in inglese, spagnolo, swahili, kinyarwanda, tedesco e creolo haitiano che pubblicizzavano alti salari banali
“Alcuni di questi aziende Gestito accusando le nuove reclute che si uniscono sostanziali commissioni, quindi utilizzando una parte di quei fondi per pagare i “dipendenti” esistenti quanto basta per mantenere il loro impegno “, hanno detto Ben Nimmo di Openi, Albert Zhang, Sophia Farquhar, Max Murphy e Kimo Bumanglag.” Questa struttura è caratteristica delle truffe di compito. “
