كشفت منصة The Hacker News أن جوجل رصدت مجموعة قرصنة مرتبطة بكوريا الشمالية تعرف باسم UNC2970، وهي تستغل نموذج الذكاء الاصطناعي Gemini في مرحلة الاستطلاع وجمع المعلومات قبل تنفيذ الهجمات السيبرانية، حيث وصفت الشركة ذلك بتسارع واضح في توظيف نماذج الذكاء التوليدي لدعم العمليات الهجومية، وأوضحت جوجل عبر تقرير صادر عن فريق Google Threat Intelligence Group أن مجموعة UNC2970 استخدمت Gemini في تلخيص معلومات متاحة علنًا وبناء ملفات تعريفية لأهداف عالية القيمة، شملت البحث عن بيانات شركات كبرى في مجال الأمن السيبراني والدفاع وتحليل أدوار وظيفية ورواتب متخصصة لدعم حملات تصيّد موجهة، وأشارت الشركة إلى أن هذا السلوك يطمس الحدود بين بحث مهني عادي واستطلاع عدائي حيث يعتمد المهاجمون على Gemini لصياغة شخصيات مزيفة أكثر إقناعًا واستهداف نقاط ضعف بشرية في الشركات المستهدفة.
أكد التقرير أن UNC2970 ليست المجموعة الوحيدة التي دمجت Gemini في أساليب عملها، إذ رصدت جوجل مجموعات تهديد أخرى مدعومة من الصين وإيران تستخدم النموذج في مهام مختلفة، من جمع بيانات حساسة عن الحسابات والبريد الإلكتروني إلى تحليل الثغرات التقنية وتوليد خطط اختبار للاستغلال، أوضحت The Hacker News أن مجموعات مثل Mustang Panda وAPT31 وAPT41 وAPT42 استخدمت Gemini في إعداد ملفات عن أهداف محددة وكتابة شيفرات أولية لأدوات اختراق وبناء هجمات تصيّد اجتماعي أكثر تخصيصًا بل وتطوير سكربتات لجمع بيانات من خدمات مثل خرائط جوجل، وأشارت جوجل إلى أن بعض المهاجمين يحاولون تجاوز أنظمة الأمان عبر تقديم أنفسهم في الطلبات على أنهم باحثو أمن أو مشاركون في مسابقات التقاط العلم بهدف دفع النظام إلى تقديم مخرجات لا يحصلون عليها في السياق العادي.
أكد ستيف ميلر المسؤول عن تهديدات الذكاء الاصطناعي في GTIG أن جوجل تعمل باستمرار على تحسين أنظمة الحماية والمصنّفات التي ترصد هذا النوع من التحايل، وأن Gemini أصبح أكثر قدرة على التعرف على الخدع المبنية على تقمص الأدوار والتعامل معها بشكل آمن مع تعزيز الحواجز كلما ظهرت أنماط هجومية جديدة، أوضحت The Hacker News أن جوجل كشفت أيضًا عن برمجية خبيثة جديدة تحمل اسم HONESTCUE تستخدم واجهة Gemini البرمجية لتوليد شيفرات المرحلة الثانية من الهجوم عند الطلب بدل الاعتماد على ملفات ثابتة ما يصعّب رصدها عبر أنماط التوقيعات التقليدية، أشارت التقارير إلى أن HONESTCUE يرسل طلبات إلى Gemini للحصول على شيفرة مكتوبة بلغة C# ثم يستعين بإطار CSharpCodeProvider في .NET لتجميعها وتشغيلها مباشرة في الذاكرة دون حفظها على القرص ما يقلل الآثار الرقمية التي يمكن أن يعتمد عليها الباحثون في تحليل الهجوم.
