Аналітики Google Threat Intelligence Group (GTIG) повідомили, що не менше 57 «урядових» хак-груп експериментують з використанням Gemini AI для підвищення ефективності своїх кампаній. ШІ застосовують для вивчення цільової інфраструктури та проведення розвідувальних операцій.

В основному APT-угруповання використовують Gemini для підвищення своєї продуктивності, а не для розробки малварі або обходу традиційних засобів захисту. Google повідомляє, що активність Gemini, пов’язана з APT-групами, походила з більш ніж 20 країн, але найбільш помітними виявилися угруповання з Ірану та Китаю.

Серед найпоширеніших прикладів застосування ШІ: вирішення завдань з написання інструментів і скриптів, дослідження публічно розкритих вразливостей, вивчення технологій (пояснення і переклад), пошук інформації про цільові організації, а також пошук методів для ухилення від виявлення, підвищення привілеїв або проведення внутрішньої розвідки в зламаній мережі.

За даними компанії, APT-групи з Ірану, Китаю, Північної Кореї та Росії експериментували з Gemini, вивчаючи можливості інструменту в питаннях виявлення вразливостей в системах безпеки, ухилення від виявлення і планування дій після компрометації.

Іранські хакери виявилися найактивнішими користувачами Gemini (75% від усіх спостережуваних випадків використання). Вони застосовували ШІ для різних завдань, включаючи: пошук оборонних організацій і міжнародних експертів; вивчення публічно розкритих вразливостей; розробку фішингових кампаній і створення контенту для операцій впливу. Крім того, іранські групи використовували Gemini для перекладу та отримання роз’яснень в областях ІБ та військових технологій, включаючи безпілотні літальні апарати (БПЛА) та системи протиракетної оборони.
Понад 30% спроб використання Gemini іранськими APT припало на частку угруповання APT42.