În anul 2025, cercetările realizate de Google au evidențiat o tendință tot mai alarmantă în domeniul securității cibernetice: utilizarea inteligenței artificiale (IA) de către grupurile de hackeri pentru crearea unor malware capabile să se modifice în timpul execuției. Această evoluție tehnologică schimbă fundamental modul în care se desfășoară atacurile cibernetice, creând noi provocări pentru specialiștii în securitate.

Tendințe în utilizarea IA pentru atacuri cibernetice

Raportul Google Threat Intelligence Group (GTIG) subliniază că hackerii folosesc acum modele lingvistice mari (LLM), precum Gemini, pentru a dezvolta programe malware extrem de sofisticate. Acestea pot adapta și rescrie propriul cod în timp real, dificultățile de detectare fiind considerabilă.

Noua tehnică, denumită „just-in-time self-modification”, le permite malware-urilor să își modifice dinamica și să evite soluțiile de securitate tradiționale. Exemple recente precum PromptFlux, PromptSteal și QuietVault demonstrează această capacitate de auto-ascundere și de adaptare rapidă.

Exemple de malware avansat cu inteligență artificială

Un astfel de malware, PromptFlux, bazat pe VBScript, utilizează modelul Gemini pentru a genera variații ale propriului cod, dificultând detectarea. Funcționează cu un modul numit „Thinking Robot”, ce trimite solicitări către Gemini pentru obținerea de instrucțiuni privind evitarea identificării.

Google a reușit să blocheze accesul malware-ului PromptFlux la API-ul Gemini, dar natura sa adaptivă ridică întrebări despre viitorul securității digitale. Deși momentan inofensiv, astfel de exemple sugerează un potențial distructiv în timp.

Alte variante identificate includ PromptSteal (cunoscut și ca LameHug), un malware pentru furt de date activ în Ucraina, și QuietVault, care vizează tokenuri GitHub și NPM pentru exfiltrarea datelor.

Abuzuri ale modelelui AI în activități malițioase de actorii statali

Raportul evidențiază și implicarea actorilor statali în utilizarea AI în scopuri malițioase. Grupuri din China, Iran, Coreea de Nord și alte țări au folosit modele de IA pentru diverse activități ilegale.

  • Actorii chinezi au folosit AI pentru crearea de phishing și exfiltrare de informații.
  • Grupul MuddyCoast (UNC3313), susținut de Iran, a folosit AI pentru a dezvolta malware și pentru a accesa date sensibile.
  • Actorii iranieni APT42 și Masan au folosit AI pentru furt de criptomonede, campanii de phishing și generare de conținut deepfake.
  • Grupul APT41 din China a îmbunătățit infrastructura de comandă cu ajutorul AI-ului.

Google a intervenit activ, dezactivând conturile și blocând accesul la modele AI pentru a limita astfel de activități malițioase.

Piața ilegală a instrumentelor bazate pe inteligență artificială

Pe forumurile clandestine, se dezvoltă o piață în creștere pentru instrumente de tip AI utilizate în activități infracționale. Hackerii pot cumpăra sau vinde:

  • generatoare de deepfake-uri,
  • instrumente automatizate de phishing,
  • framework-uri de malware,
  • tehnologii pentru analize de vulnerabilități și recunoaștere cibernetică.

Această evoluție simplifică și accelerează procesele de atac pentru persoane fără experiență avansată.

Concluzie

Utilizarea IA în activități criminale cibernetice reprezintă o realitate în continuă expansiune, iar monitorizarea și adaptarea la aceste tendințe sunt esențiale. Monitorizarea constantă și dezvoltarea unor măsuri de protecție eficiente rămân imperative pentru siguranța digitală.