كشفت منصة The Hacker News عن تفاصيل مثيرة تتعلق بمجموعة قرصنة مرتبطة بكوريا الشمالية تُعرف باسم UNC2970، حيث تستخدم هذه المجموعة نموذج الذكاء الاصطناعي Gemini لجمع المعلومات واستطلاع الأهداف قبل تنفيذ الهجمات السيبرانية، وهو ما يعكس زيادة ملحوظة في استخدام نماذج الذكاء التوليدي في العمليات الهجومية.
استغلال الذكاء الاصطناعي في الهجمات
جوجل أكدت في تقرير من فريق Google Threat Intelligence Group أن UNC2970 استغلت Gemini لتلخيص معلومات متاحة للجمهور وإنشاء ملفات تعريفية لأهداف مهمة، بما في ذلك بيانات شركات كبرى في الأمن السيبراني والدفاع، وتحليل الرواتب والأدوار الوظيفية لدعم حملات تصيد موجهة، وهذا الأمر يوضح كيف أن الحدود بين البحث المهني والاستطلاع العدائي أصبحت غير واضحة، حيث يعتمد المهاجمون على Gemini لإنشاء شخصيات مزيفة تقنع الأهداف وتستهدف نقاط الضعف البشرية في الشركات.
مجموعات تهديد متعددة
التقرير أشار إلى أن UNC2970 ليست المجموعة الوحيدة التي تستخدم Gemini، بل هناك مجموعات تهديد أخرى مدعومة من الصين وإيران تستفيد من نفس النموذج في مهام متنوعة، من جمع البيانات الحساسة إلى تحليل الثغرات التقنية وإنشاء خطط اختبار للاستغلال، كما تم ذكر مجموعات مثل Mustang Panda وAPT31 وAPT41 وAPT42 التي استخدمت Gemini لإعداد ملفات عن أهداف معينة وكتابة شيفرات أولية لأدوات اختراق، بالإضافة إلى تطوير سكربتات لجمع بيانات من خدمات مثل خرائط جوجل.
تحايل على أنظمة الأمان
جوجل أشارت إلى أن بعض المهاجمين يحاولون التحايل على أنظمة الأمان من خلال تقديم أنفسهم كـ”باحثي أمن” أو مشاركين في مسابقات “التقاط العلم” بهدف الحصول على مخرجات لا تتوفر لهم في السياق العادي، ستيف ميلر، المسؤول عن تهديدات الذكاء الاصطناعي في GTIG، أكد أن جوجل تعمل على تحسين أنظمة الحماية لمواجهة هذه الأنماط من التحايل، وأن Gemini أصبح أكثر قدرة على التعرف على هذه الخدع والتعامل معها بشكل آمن.
برمجية HONESTCUE
جوجل كشفت أيضًا عن برمجية خبيثة جديدة تُدعى HONESTCUE، والتي تستخدم واجهة Gemini البرمجية لتوليد شيفرات المرحلة الثانية من الهجوم عند الطلب بدلاً من الاعتماد على ملفات ثابتة، مما يجعل رصدها أصعب، التقارير ذكرت أن HONESTCUE ترسل طلبات إلى Gemini للحصول على شيفرة مكتوبة بلغة C#، ثم تستخدم إطار CSharpCodeProvider في .NET لتجميعها وتشغيلها مباشرة في الذاكرة دون حفظها على القرص، مما يقلل من الآثار الرقمية التي يمكن أن يعتمد عليها الباحثون في تحليل الهجوم.
مجموعة COINBAIT
التقرير أشار أيضًا إلى مجموعة تهديد تُعرف باسم UNC5356، التي استخدمت أداة ذكاء اصطناعي تُسمى Lovable AI لتطوير مجموعة تصيد تُدعى COINBAIT، والتي تتخفى في هيئة منصة لتداول العملات المشفرة بهدف سرقة بيانات الدخول من الضحايا، كما ظهرت حملات ClickFix التي تستغل خاصية مشاركة جلسات الدردشة في منصات الذكاء الاصطناعي لنشر تعليمات مزيفة تهدف إلى “حل مشكلة تقنية”، لكنها في الحقيقة تقود المستخدمين لتحميل برمجيات لسرقة المعلومات.
هجمات لاستخراج النماذج
جوجل ذكرت أنها رصدت وأحبطت هجمات لاستخراج النماذج، حيث حاول المهاجمون إرسال أكثر من 100 ألف طلب إلى Gemini لبناء نموذج بديل يطابق سلوك النموذج الأصلي، وقد أظهرت تجربة سابقة من شركة Praetorian أن نموذجًا بديلًا يمكن أن يصل إلى دقة تتجاوز 80% بعد تدريب يعتمد على ألف استعلام فقط ومخرجاتها، مما يدل على إمكانية استنساخ سلوك النموذج حتى مع بقاء أوزانه سرية.
دعوة للتعاون في الدفاع
جوجل، التي أطلقت مبادرة AI Cyber Defense في 2024، أكدت أن استخدام المهاجمين للذكاء الاصطناعي أصبح واقعًا دائمًا، ومن المتوقع أن تزداد عدد الهجمات المعززة بالذكاء الاصطناعي في الفترة القادمة، وأوضحت الشركة أن الحل لا يكمن فقط في تشديد ضوابط الأمان على النماذج، بل يجب على الجهات المدافعة، سواء كانت شركات أو حكومات، تبني أدوات ذكاء اصطناعي دفاعية تستطيع العمل بسرعة الآلة نفسها لكشف الهجمات وتحليلها والرد عليها في وقت قريب من الزمن الحقيقي.