Генеративный искусственный интеллект стремительно становится не только инструментом для бизнеса и разработчиков, но и новым ресурсом для киберпреступников. Согласно отчету Google Threat Intelligence Group (GTIG), северокорейская группировка UNC2970, связанная с Lazarus Group, начала активно использовать модель Google Gemini для разведки и подготовки атак на высокоприоритетные цели.
Северокорейская UNC2970 и эволюция операций «Dream Job»
Группа UNC2970, пересекающаяся с кластерами Lazarus Group, Diamond Sleet и Hidden Cobra, давно известна атаками на аэрокосмический, оборонный и энергетический секторы. Одной из наиболее заметных кампаний стала Operation Dream Job — многоэтапная операция, в которой злоумышленники выдавали себя за рекрутеров и предлагали «выгодные вакансии», чтобы убедить специалистов открыть заражённые файлы или перейти по вредоносным ссылкам.
По данным GTIG, UNC2970 по-прежнему делает ставку на оборонные компании и привычную легенду корпоративных HR-специалистов, но теперь усиливает эти сценарии с помощью генеративного ИИ.
Как UNC2970 использует Google Gemini для OSINT и профилирования целей
Исследователи Google зафиксировали, что UNC2970 применяет Gemini для обработки открытых источников (OSINT) и составления детальных профилей потенциальных жертв. Модель использовалась для:
— поиска информации о крупных компаниях в сфере кибербезопасности и обороны;
— картирования конкретных технических ролей, компетенций и зон ответственности;
— анализа уровней зарплат и рыночных ожиданий специалистов для более реалистичного построения легенды «рекрутера».
GTIG отмечает, что подобное применение ИИ размывает границу между легитимным аналитическим исследованием рынка труда и злоумышленной разведкой. Чем лучше атакующие понимают структуру компаний и мотивацию специалистов, тем более убедительными становятся их фишинговые персоны и тем выше вероятность первичного компрометирования аккаунтов.
HONESTCUE и COINBAIT: ИИ в службе генерации кода и фишинговых наборов
HONESTCUE: генерация вредоносного кода через API Gemini
Отдельного внимания заслуживает выявленный Google вредоносный инструмент HONESTCUE. Это фреймворк-загрузчик, который обращается к API Google Gemini, отправляет промпт и получает в ответ исходный код на C# для следующего этапа атаки.
Вместо того чтобы обновлять себя через встроенный механизм, HONESTCUE делегирует генерацию функциональности второй стадии самой модели Gemini. Полученный на лету C#-код затем компилируется и выполняется напрямую в памяти с использованием легитимного фреймворка .NET CSharpCodeProvider. Такой fileless-подход минимизирует артефакты на диске и усложняет детектирование традиционными антивирусами.
COINBAIT: фишинговый «криптосервис», созданный ИИ
Еще один пример злоупотребления ИИ — фишинговый набор COINBAIT, построенный с использованием сервиса Lovable AI. Этот комплект маскируется под криптовалютную биржу и предназначен для сбора учетных данных пользователей.
Google связывает отдельные аспекты активности COINBAIT с финансово мотивированным кластером UNC5356. Появление готовых «ИИ-собранных» фишинговых наборов снижает порог входа для малоквалифицированных злоумышленников и ускоряет масштабирование кампаний.
Кампании ClickFix: злоупотребление публичным шэрингом ИИ-сервисов
GTIG также привлекает внимание к волне кампаний ClickFix, в рамках которых злоумышленники используют функцию публичного обмена в сервисах генеративного ИИ. Жертвам демонстрируются реалистично выглядящие «инструкции по исправлению распространённой проблемы с компьютером», а на деле им подсовывается инфостилер — вредонос для кражи данных. Такая активность была отмечена в декабре 2025 года компанией Huntress.
Model extraction: атаки на поведение модели Gemini
Помимо прямого использования Gemini в кибератаках, Google зафиксировала масштабные атаки на извлечение модели (model extraction). Их цель — с помощью систематических запросов к закрытой модели построить её замену, которая максимально точно повторяет поведение оригинала.
В одном из таких случаев на Gemini было отправлено более 100 000 промптов с вопросами на разных нерусских (неанглоязычных) языках, чтобы воспроиз вести её способность к рассуждению по широкому спектру задач. Аналогичный подход продемонстрировала компания Praetorian, показав на proof-of-concept, что реплика модели может достичь точности 80,1% всего после порядка 1000 запросов к API и обучения в течение 20 эпох.
Исследователь Фарида Шафик подчеркивает: «Многие организации считают, что достаточно держать веса модели в секрете. Но поведение — и есть модель. Каждая пара запрос–ответ становится обучающим примером для её копии». Это означает, что любой открытый API крупной ИИ-системы потенциально уязвим для атак с целью воспроизвести её функциональность.
Ответ Google и гонка ИИ между атакующими и защитниками
По данным GTIG, злоумышленники регулярно пытаются обходить защитные механизмы генеративных моделей, маскируясь под исследователей по безопасности или участников CTF-соревнований в своих промптах. Такой подход призван спровоцировать модель на нежелательные ответы под предлогом «учебных» или «тестовых» сценариев.
Google заявляет, что постоянно улучшает защиту Gemini — от классификаторов детектирования до дополнительных ограничений и фильтров. По словам представителей GTIG, модель становится лучше в распознавании подобных «игр с персоной» и безопасном ответе, а новые наблюдаемые техники атак используются для дальнейшего усиления защитных барьеров.
Компания связывает эти усилия с инициативой AI Cyber Defense Initiative, запущенной в 2024 году. Google считает, что именно ИИ дает шанс переломить так называемую «дилемму защитника», когда атакующему достаточно найти одну брешь, а защитнику — закрыть все. Ожидается, что качество, масштаб и скорость ИИ-усиленных атак будут расти, а значит, организациям необходимо инвестировать в собственные ИИ-инструменты обнаружения, анализа и реагирования, способные работать на машинной скорости.
Организациям стоит уже сейчас пересмотреть модели угроз с учетом злоупотребления генеративным ИИ: от ИИ-сгенерированных фишинговых писем и динамически создаваемого вредоносного кода до атак на модели через публичные API. Практически это означает усиление мониторинга обращений к ИИ-сервисам, контроль и сегментацию API-ключей, обучение сотрудников распознаванию новых форм социальной инженерии, а также тестирование систем защиты на сценариях, где атакующий активно использует ИИ. Чем раньше эти меры будут внедрены, тем выше шанс, что ИИ станет преимуществом для защитников, а не только новым оружием в руках киберпреступников.
