Operai ha revelado que prohibió un conjunto de cuentas de ChatGPT que probablemente fueron operadas por actores de amenaza de acento rusa y dos grupos chinos de piratería de estado-nación para ayudar con el ampliación de malware, la automatización de redes sociales e investigar sobre las tecnologías de comunicaciones satelitales de los Estados Unidos, entre otras cosas.
“El actor (de acento rusa) utilizó nuestros modelos para ayudar a desarrollar y refinar el malware de Windows, depurar código en múltiples idiomas y configurar su infraestructura de comando y control”, dijo Openii en su crónica de inteligencia de amenazas. “El actor demostró conocimiento de Windows -Terals y exhibió algunos comportamientos de seguridad operativos”.
La campaña de malware con sede en GO ha sido reputado Coden SCopecreep por la compañía de inteligencia fabricado (IA). No hay evidencia de que la actividad fuera generalizada en la naturaleza.
El actor de amenaza, según OpenAI, utilizó cuentas de correo electrónico temporales para registrarse en ChatGPT, utilizando cada una de las cuentas creadas para tener una conversación para hacer una perfeccionamiento incremental única en su software zorro. Seguidamente abandonaron la cuenta y pasaron a la subsiguiente.
Esta habilidad de usar una red de cuentas para ajustar su código resalta el enfoque del adversario en la seguridad operativa (OPSEC), agregó OpenAI.
Luego, los atacantes distribuyeron el malware asistido por AII a través de un repositorio de código acondicionado públicamente que se hizo tener lugar por una útil legítima de superposición de Crosshair Crosshair señal Crosshair X. Usuarios que terminaron descargando la traducción troyana del software si un cargador de malware infectado por sus sistemas que luego procediría a recuperar la carga útil adicional de un servidor forastero y se las arreglaría.
“A partir de ahí, el malware fue diseñado para iniciar un proceso de varias etapas para aumentar los privilegios, establecer persistencia sigilosa, avisar al actor de amenaza y exfiltrar datos confidenciales mientras evade la detección”, dijo Openii.
“El malware está diseñado para intensificar los privilegios al relanzar con ShellexCutew e intenta sortear la detección utilizando PowerShell para excluir mediante programación de Windows Defender, suprimir las ventanas de la consola e insertar retrasos de tiempo”.
Entre otras tácticas incorporadas por Scopecreep incluyen el uso de la codificación de base64 para ofuscar las cargas enseres, las técnicas de carga vecino de DLL y los proxies de calcetines5 para ocultar sus direcciones IP de origen.
El objetivo final del malware es cosechar credenciales, fichas y galletas almacenadas en navegadores web, y exfiltrarse al atacante. Incluso es capaz de expedir alertas a un canal de telegrama operado por los actores de amenaza cuando se comprometen las nuevas víctimas.
Operai señaló que el actor de amenaza le pidió a sus modelos que depurar un fragmento de código GO relacionado con una solicitud HTTPS, así como para agenciárselas ayuda para integrar la API de Telegram y usar los comandos de PowerShell a través de la configuración de defensa de Windows, específicamente cuando se tráfico de anexar exclusiones antivirus.
Se dice que el segundo clase de cuentas de ChatGPT por OpenAI se asocia con dos grupos de piratería atribuidos a China: ATP5 (incluso conocido como Bronze Fleetwood, Panda de ojo de cerradura, manganeso y UNC2630) y Apt15 (incluso conocido como Flea, Typhoon de Nylon, Taurus juguetón, Royal Apt y Vixen Panda))
Mientras que un subconjunto se dedicó al chatbot AI en asuntos relacionados con la investigación de código destapado en diversas entidades de interés y temas técnicos, así como para modificar scripts o solucionar configuraciones del sistema.
“Otro subconjunto de los actores de amenaza parecía estar intentando participar en el ampliación de actividades de soporte, incluidas la establecimiento del sistema Linux, el ampliación de software y la configuración de infraestructura”, dijo Openii. “Para estas actividades, los actores de amenaza usaron nuestros modelos para solucionar las configuraciones de problemas, modificar el software y realizar investigaciones sobre los detalles de implementación”.
Esto consistió en solicitar subsidio de paquetes de software de construcción de subsidio para la implementación fuera de crencha y el asesoramiento relacionados con los firewalls y los servidores de nombres configurados. Los actores de amenaza participaron en actividades de ampliación de aplicaciones web y de Android.
Por otra parte, los clústeres vinculados por China armaron ChatGPT para trabajar en un script de fuerza bruta que puede entrar en servidores FTP, investigar sobre el uso de modelos de gran jerga (LLMS) para automatizar las pruebas de penetración y desarrollar código para dirigir una flota de dispositivos Android para transmitir programáticamente o como contenido en plataformas de redes sociales como Facebook, Instagram, Tiktok y X.
Algunos de los otros grupos de actividades maliciosas observadas que aprovecharon el chatgpt de forma nefasta se enumeran a continuación –
- Una red, consistente con el esquema de trabajadores de TI de Corea del Septentrión, que utilizó los modelos de OpenAI para impulsar campañas de empleo engañosas mediante el ampliación de materiales que probablemente puedan avanzar en sus intentos fraudulentos de solicitar TI, ingeniería de software y otros trabajos remotos en todo el mundo.
- Revisión burlonauna probable actividad de origen de China que utilizó los modelos de OpenAI para producir publicaciones en redes sociales en inglés, chino y urdu sobre temas de relevancia geopolítica para el país para compartir en Facebook, Reddit, Tiktok y X
- Operación reincorporación cincouna actividad de origen de Filipinas que utilizó los modelos de OpenAI para producir volúmenes masivos de comentarios cortos en inglés y taglish sobre temas relacionados con la política y los eventos actuales en Filipinas para compartir en Facebook y Tiktok
- Operation Focus Vagueuna actividad de origen de China que utilizó los modelos de OpenAI para producir publicaciones en las redes sociales para compartir en X haciéndose tener lugar por periodistas y analistas geopolíticos, hacer preguntas sobre ataque de redes informáticas y herramientas de explotación, y traducir correos electrónicos y mensajes de chino a inglés como parte de presuntos intentos de ingeniería social
- Operación de Helgoland Biteuna probable actividad de origen ruso que utilizó los modelos de OpenAI para producir contenido de idioma ruso sobre las elecciones alemanas de 2025, y criticó a los Estados Unidos y la OTAN, por compartir en Telegram y X
- Operación tío spamuna actividad de origen de China que utilizó los modelos de OpenAI para producir contenido polarizado en las redes sociales que apoyan a entreambos lados de temas divisivos internamente del discurso político de los Estados Unidos para compartir en Bluesky y X
- Storm-2035, una operación de influencia iraní que utilizó los modelos de OpenAI para producir comentarios cortos en inglés y gachupin que expresó su apoyo a los derechos latinos, la independencia escocesa, la reunificación irlandesa y los derechos palestinos, y elogió la destreza marcial y diplomática de Irán por compartir en X por cuenta inauténtica que posa como residentes de los Estados Unidos, Uk, Irlanda y Venezuela.
- Operación Número incorrectouna probable actividad de origen camboyano relacionado con los sindicatos de estafas de tareas administradas por China que usaba modelos de OpenAI para producir mensajes cortos de sustitución en inglés, gachupin, swahili, kinyarwanda, germánico y criollo haitiano que anunciaba altos salarios para tareas triviales como las publicaciones en las redes sociales
“Algunas de estas compañías operadas cobrando nuevos reclutas sustanciales de unión de unión, luego utilizando una parte de esos fondos para avalar ’empleados’ existentes lo suficiente como para ayudar su compromiso”, dijeron Ben Nimmo, Albert Zhang, Sophia Farquhar, Max Murphy y Kimo Bumanglag. “Esta estructura es característica de las estafas de tareas”.
