Operai ha revelado que ha prohibido un conjunto de cuentas de ChatGPT, que probablemente están administradas por actores de amenaza de habla rusa y dos grupos de piratería nacionales chinos, para apoyar las investigaciones sobre el desarrollo de malware, la automatización de redes sociales y la tecnología de comunicaciones satelitales de los Estados Unidos.
«El actor (de habla rusa) usó nuestro modelo para ayudar a desarrollar y refinar el malware de Windows, ayudando a depurar el código y configurar la infraestructura de comando y control en múltiples idiomas», dijo Openii en su informe de inteligencia de amenazas. «El actor mostró conocimiento interno de Windows y demostró algún comportamiento de seguridad operacional».
La campaña de malware con sede en GO se llama NPOPEP por compañías de inteligencia artificial (IA). No hay evidencia de que la actividad esté esencialmente generalizada.
Para cada OpenAI, los actores de amenaza se inscribieron en CHATGPT utilizando cuentas de correo electrónico temporales, y usaron cada cuenta que crearon para tener una conversación, haciendo una mejora incremental única en el software malicioso. Luego abandonaron su cuenta y se mudaron a la siguiente cuenta.
Esta práctica de ajustar el código utilizando una red de cuentas enfatiza que se centra en la seguridad operativa (OPSEC) enemiga, agregó OpenAI.
Luego, los atacantes distribuyeron malware asistido por AI a a través del repositorio de código disponible públicamente que se hizo pasar por la legítima herramienta de superposición de Crosshair Crosshair llamada Crosshair X.
«A partir de ahí, el malware está diseñado para iniciar procesos de varias etapas para aumentar los privilegios, establecer persistencia sigilosa, notificar a los actores de amenaza y eliminar datos confidenciales mientras evita la detección», dijo Openii.
«El malware está diseñado para aumentar los privilegios reiniciando con ShellexCutew e intenta evitar la detección eliminándolo programáticamente del defensor de Windows usando PowerShell, suprimiendo las ventanas de la consola e inyectando retrasos en el tiempo».
Otras tácticas integradas en Scopecreep incluyen el uso de la codificación de Base64 para ofuscar las cargas útiles, la tecnología DLL Sideload y el proxy SOX5 para ocultar la dirección IP de origen.
El objetivo final del malware es cosechar las credenciales, fichas y galletas almacenadas en los navegadores web y eliminarlas del atacante. También puede alertar un canal de telegrama dirigido por actores de amenaza cuando las nuevas víctimas se comprometan.
Operai le pidió al modelo que depugga los fragmentos de código GO relacionados con las solicitudes HTTPS, y pidió que ayudara a usar los comandos de PowerShell usando la configuración del defensor de Windows, particularmente cuando se trata de agregar exclusiones antivirus.
Se dice que el segundo grupo de cuentas de ChatGPT deshabilitada por OpenAI está relacionado con dos grupos de piratería atribuidos a China: ATP5 (también conocido como Bronce Fleetwood, Panda de ojo de teclado, manganeso, UNC2630) y Apt15 (también conocido como Typhoon de Nylon, Typhoon, juguetón, Royal Panda, Vixenpanda))
Por otro lado, un subconjunto ha modificado los scripts y las configuraciones del sistema solucionadas sobre temas relacionados con la investigación de código abierto sobre diversas entidades y temas técnicos de interés.
«Otro subconjunto de actores de amenaza parecía participar en el desarrollo de actividades de soporte como la gestión de sistemas de Linux, el desarrollo de software y la configuración de la infraestructura», dijo Openii. «Para estas actividades, los actores de amenaza utilizaron los modelos para realizar investigaciones sobre la resolución de problemas de configuración, los cambios de software y los detalles de implementación».
Esto consistió en solicitar paquetes de software para la implementación fuera de línea y asesoramiento sobre firewalls y servidores de nombres configurados. Los actores de amenaza participaron en actividades de desarrollo de aplicaciones web y de Android.
Además, los grupos relacionados con el trabajo de China en los scripts de fuerza bruta que se pueden dividir en servidores FTP, automatizar las pruebas de penetración utilizando modelos de lenguaje a gran escala (LLM) y administrar flotas de dispositivos Android, lo que les permite usar Facebook, Instag, Tiktok, X.
Algunos de los otros grupos de actividad maliciosa observados utilizan ChatGPT de manera maliciosa.
La red, consistente con el esquema de trabajadores de TI de Corea del Norte, ha utilizado el modelo de OpenAI para promover una campaña de empleo engañosa mediante el desarrollo de materiales que puedan avanzar en TI, ingeniería de software y otros trabajos remotos en todo el mundo. Tiktok y X Operation High Five son actividades de origen de Filipinas que generan inglés y taglish sobre temas relacionados con el evento actual de Filipinas, para compartir entre Filipinas y Tiktok Operation Focus para compartir en Facebook y Tiktok Operation Focus. Traducir correos electrónicos y mensajes de China al inglés como parte de las herramientas de explotación y las sospechas de ingeniería social intenta las tácticas de mordaz de Helgorand. Esto utilizó el modelo abierto para generar contenido ruso sobre las elecciones de 2025 de Alemania, criticando a los Estados Unidos y la OTAN, y utilizando el modelo de Oria chino utilizando el modelo de origen chino utilizando el modelo de telegrama y el modelo desencadenante de la operación X. Temas del discurso político estadounidense para compartir en Bluesky y X Storm-2035. Utilizando el modelo de Openai, generó comentarios breves en inglés y español, elogió los derechos latinos, la independencia escocesa, la reunión irlandesa, los derechos palestinos, los derechos palestinos y el clero militar y de radiante iraníes por el alabado clérigo militar y radiante iraní por compartir X al compartir cuentas militares y radiantes iraníes. Actividades camboyanas y de origen que probablemente pueden ser una actividad camboyana relacionada con el fraude de tareas administradas por chinos utilizando el modelo de OpenAi para generar mensajes de estilo de reclutamiento cortos para números incorrectos, inglés, español, swahili, kinyarwanda, crioles haitianos y haitianos
«Algunas de estas compañías estaban operando cobrando una tarifa de participación sustancial para los nuevos reclutas y luego utilizando algunos de esos fondos para mantener el compromiso solo para pagar a los» empleados «existentes», dijo Ben Nimmo, Albert Zhang, Sophia Farquhar, Max Murphy y Kimo Bumanglag de OpenAi. «Esta estructura es un sello distintivo del fraude de tareas».
Source link
