OpenAI eliminó cuentas utilizadas por grupos de amenazas patrocinados por estados de Irán, Corea del Norte, China y Rusia, que abusaban de su chatbot de inteligencia artificial, ChatGPT.
La organización de investigación de IA tomó medidas contra cuentas específicas asociadas con los grupos de hackers que estaban haciendo un mal uso de sus servicios de modelo de lenguaje grande (LLM) con fines maliciosos después de recibir información clave del equipo de Threat Intelligence de Microsoft.
En un informe separado, Microsoft proporciona más detalles sobre cómo y por qué estos actores de amenazas avanzadas utilizaron ChatGPT.
La actividad asociada con los siguientes grupos de amenazas fue cancelada en la plataforma:
- Forest Blizzard (Strontium) Rusia: utilizó ChatGPT para realizar investigaciones sobre tecnologías satelitales y de radar pertinentes para operaciones militares y para optimizar sus operaciones cibernéticas con mejoras en las secuencias de comandos.
- Emerald Sleet (Thallium) Corea del Norte: aprovechó ChatGPT para investigar Corea del Norte y generar contenido de phishing, además de comprender vulnerabilidades (como CVE-2022-30190 “Follina”) y solucionar problemas de tecnologías web.
- Crimson Sandstorm (Curium) Irán: Comprometido con ChatGPT para asistencia en ingeniería social, resolución de problemas, desarrollo de .NET y desarrollo de técnicas de evasión.
- Charcoal Typhoon (Chromium) China: interactuó con ChatGPT para ayudar en el desarrollo de herramientas, secuencias de comandos, comprensión de herramientas de ciberseguridad y generación de contenido de ingeniería social.
- Salmon Typhoon (Sodium) China: Empleó LLM para consultas exploratorias sobre una amplia gama de temas, incluida información confidencial, personas de alto perfil y ciberseguridad, para ampliar sus herramientas de recopilación de inteligencia y evaluar el potencial de las nuevas tecnologías para el abastecimiento de información.
En general, los actores de amenazas utilizaron modelos de lenguaje grandes para mejorar sus capacidades estratégicas y operativas, incluido el reconocimiento, la ingeniería social, las tácticas de evasión y la recopilación de información genérica.
Ninguno de los casos observados implica el uso de LLM para desarrollar directamente malware o herramientas de explotación personalizadas completas.
En cambio, la asistencia de codificación real se refería a tareas de nivel inferior, como solicitar consejos de evasión, secuencias de comandos, desactivar el antivirus y, en general, la optimización de las operaciones técnicas.
En enero, un informe del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido predijo que para 2025 las operaciones de amenazas persistentes avanzadas (APT) sofisticadas se beneficiarán de las herramientas de inteligencia artificial en todos los ámbitos, especialmente en el desarrollo de malware personalizado evasivo.
Sin embargo, el año pasado, según los hallazgos de OpenAI y Microsoft, hubo un aumento en los segmentos de ataques APT como el phishing/ingeniería social, pero el resto fue más bien exploratorio.
OpenAI dice que continuará monitoreando y desbaratando a los piratas informáticos respaldados por el estado utilizando tecnología de monitoreo especializada, información de socios de la industria y equipos dedicados encargados de identificar patrones de uso sospechosos.