Google имеет статус одного из лидеров в области искусственного интеллекта. Благодаря своим моделям Gemini AI, компания предлагает множество передовых сервисов, которые нашли применение в образовательной, профессиональной и повседневной деятельности. Однако, эти технологии привлекают не только законопослушных пользователей, но и хакеров, которые используют их для усиления своих атак.

Согласно сообщению Google Threat Intelligence Group (GTIG), более 57 различных кибергруппировок, связанных с Китаем, Ираном, Северной Кореей и Россией, активно используют Gemini для проведения киберопераций.

В последнее время власти США выражали обеспокоенность ростом популярности таких платформ, как DeepSeek, и связанными с ними рисками для национальной безопасности. Однако, теперь внимание также приковано к тому, как локальные платформы ИИ, такие как Gemini, могут быть использованы в злонамеренных целях.

Исследователи Google обнаружили, что хакерские организации применяют Gemini для выполнения широкого спектра задач, что делает их атаки более изощренными и эффективными. Среди основных направлений использования ИИ: разработка вредоносного кода, сбор информации, уклонение от защиты, действия после компрометации.

Согласно отчету GTIG, иранская группа APT42 является наиболее активным пользователем Gemini среди всех. На её долю приходится более 30% всех случаев использования ИИ для кибератак. APT42 нацелена на неправительственные организации, средства массовой информации, академические учреждения, юридические службы и группы активистов. Группа также использует Gemini для создания фиктивных личностей, выдавая себя за журналистов или организаторов, чтобы получить доступ к конфиденциальной информации. Кроме того, APT42 пытается добывать данные из военной промышленности Китая и США.

Китайские же группировки активно используют Gemini для задач, связанных с разведкой, кодированием, устранением неполадок и эксплуатацией уязвимостей в сетевом оборудовании. Российские хакеры, в свою очередь, применяют ИИ для шифрования вредоносного кода и его адаптации под различные языки программирования, что делает их атаки более универсальными и сложными для обнаружения.

Google также обнаружил, что на подпольных форумах активно продаются модифицированные версии языковых моделей (LLM), которые обходят все этические и защитные ограничения. Среди таких моделей — WormGPT, WolfGPT, EscapeGPT, FraudGPT и GhostGPT. Эти инструменты позволяют кибербойцам легко создавать фишинговые письма, разрабатывать шаблоны для атак на корпоративную электронную почту (BEC) и создавать вредоносные веб-сайты.

Использование Google Gemini киберпреступниками подчеркивает двойственность современных технологий ИИ. С одной стороны, они открывают новые возможности для развития науки, бизнеса и общества. С другой — становятся мощным инструментом в руках хакерских группировок.