Atividade observada envolve perfilamento de alvos, suporte a phishing, geração dinâmica de código, kits de coleta de credenciais e tentativas de extração de modelo por consultas em escala.
| Componente | Gemini, APIs de IA generativa e recursos públicos de compartilhamento usados por atores de ameaça em reconhecimento, apoio a desenvolvimento e campanhas de engenharia social. |
| Vetor | Consultas ao modelo, prompts disfarçados como pesquisa de segurança ou exercício CTF, uso de API para gerar funcionalidade de segundo estágio e páginas compartilhadas com instruções falsas em campanhas ClickFix. |
| Impacto | Aceleração de reconhecimento, criação de personas de phishing, apoio a testes direcionados, geração de código para HONESTCUE, coleta de credenciais via COINBAIT e tentativa de replicar comportamento de modelo por extração. |
| Prioridade | Governar uso corporativo de IA, monitorar telemetria de prompts e APIs, revisar fluxos de phishing e ClickFix, conter execução em memória e validar controles contra abuso de modelos. |
| Atores | UNC2970, UNC6418, Temp.HEX/Mustang Panda, APT31, APT41, UNC795, APT42 e UNC5356 aparecem no contexto como grupos ou clusters ligados a usos distintos de IA generativa. |
| Artefatos | HONESTCUE, COINBAIT, uso de CSharpCodeProvider, pesquisa sobre CVE-2025-8088 e ataques de extração de modelo com mais de 100.000 prompts contra o Gemini. |
A atividade descrita mostra o uso de IA generativa como camada auxiliar em várias fases do ciclo de ataque, sem que o modelo precise ser a origem única da intrusão. O caso central envolve o UNC2970, grupo ligado à Coreia do Norte e associado a sobreposições com Lazarus Group, Diamond Sleet e Hidden Cobra, usando o Gemini para sintetizar informações abertas e montar perfis de alvos de alto valor. O foco incluiu empresas relevantes de segurança cibernética e defesa, funções técnicas específicas e informações salariais, elementos úteis para selecionar vítimas, construir abordagens de recrutamento falsas e reduzir o custo operacional de preparação de uma campanha.
O ponto técnico mais importante é que o abuso não se limita à geração de texto para phishing. O contexto também descreve uso para análise de vulnerabilidades, depuração de código, criação de web shells e scanners, desenvolvimento de ferramentas auxiliares, geração de código em tempo de execução por malware e tentativas de extração de modelo. Isso desloca a avaliação defensiva: a IA aparece como infraestrutura de produtividade do operador, como superfície de abuso por API e como alvo direto de ataques que tentam replicar seu comportamento. A defesa precisa tratar logs de IA, chamadas de API, páginas compartilhadas por serviços generativos e fluxos de execução em memória como fontes de telemetria relevantes, não como ruído administrativo.
No uso atribuído ao UNC2970, o Gemini foi empregado para consolidar OSINT e apoiar o planejamento de campanha. Esse perfilamento é particularmente sensível em operações que já usam pretexto profissional, como falsas oportunidades de emprego. Quando um operador combina dados públicos sobre cargos, salários, empresas e funções técnicas, ele consegue produzir mensagens mais plausíveis, escolher perfis menos protegidos e adaptar a narrativa ao contexto do alvo. A fronteira entre pesquisa profissional legítima e reconhecimento malicioso fica menos visível porque as mesmas consultas podem parecer levantamento de mercado, análise de carreira ou pesquisa corporativa comum.
Outros grupos citados usaram a mesma classe de tecnologia para objetivos diferentes. O UNC6418 aparece associado à coleta direcionada de inteligência, incluindo busca por credenciais de conta e endereços de e-mail. Temp.HEX, também referido como Mustang Panda, teria usado o recurso para montar dossiês sobre indivíduos específicos, inclusive alvos no Paquistão, e obter dados operacionais e estruturais sobre organizações separatistas. APT31 usou a cobertura de pesquisador de segurança para automatizar análise de vulnerabilidades e planos de teste. APT41 buscou explicações a partir de arquivos README.md de ferramentas abertas, além de suporte para corrigir e depurar código de exploração. UNC795 aparece ligado a pesquisa, correção de código e desenvolvimento de web shells e scanners para servidores PHP. APT42 usou IA para reconhecimento, engenharia social direcionada, criação de personas, desenvolvimento de um raspador do Google Maps em Python, um sistema de gerenciamento de SIM cards em Rust e pesquisa sobre uma PoC relacionada à falha CVE-2025-8088.
O caso HONESTCUE amplia o risco para execução técnica. O malware é descrito como um framework de downloader e launcher que envia um prompt para a API do Gemini e recebe código-fonte C# como resposta. Em vez de apenas usar IA para atualizar o próprio binário, a cadeia usa a resposta do modelo para construir a funcionalidade de segundo estágio, que baixa e executa outra peça maliciosa. O estágio secundário é fileless: o código C# retornado é compilado e executado diretamente em memória com o framework legítimo .NET CSharpCodeProvider, reduzindo artefatos em disco e deslocando a detecção para eventos de processo, carregamento de runtime, compilação dinâmica, tráfego de API e comportamento pós-compilação.
Também há abuso de camadas voltadas ao usuário final. O kit COINBAIT, gerado com Lovable AI, se passa por uma corretora de criptomoedas para coleta de credenciais e tem parte da atividade relacionada ao cluster financeiramente motivado UNC5356. Em paralelo, campanhas ClickFix exploram recursos públicos de compartilhamento de serviços de IA generativa para hospedar instruções convincentes de correção de problemas comuns no computador, mas com finalidade de entregar malware ladrão de informações. Por fim, ataques de extração de modelo buscaram consultar o Gemini de forma sistemática para inferir comportamento e treinar um substituto. Um ataque em escala envolveu mais de 100.000 prompts em idiomas não ingleses para tentar reproduzir capacidades de raciocínio do modelo.
A superfície exposta abrange organizações que usam IA generativa, equipes visadas por engenharia social e provedores que expõem modelos por API. Empresas de defesa, segurança cibernética, aeroespacial e energia aparecem como alvos coerentes com o histórico do UNC2970, especialmente quando funcionários técnicos são abordados por supostos recrutadores. Contas corporativas de IA, chaves de API, integrações internas, navegadores, endpoints de desenvolvedores, pipelines que executam código e sistemas que permitem compilação dinâmica entram no escopo de defesa, porque o abuso pode ocorrer tanto fora quanto dentro do ambiente corporativo.
Para organizações que consomem IA via API, o risco não está apenas em prompt injection ou vazamento de dados sensíveis. O contexto mostra que a API pode ser usada por malware para terceirizar geração de funcionalidade e por operadores para acelerar tarefas de preparação. Já em ambientes de usuário final, páginas compartilhadas de serviços generativos podem ganhar aparência confiável e induzir ações inseguras no endpoint. Em modelos proprietários, a exposição está no comportamento retornado a cada consulta: mesmo sem acesso aos pesos, pares de pergunta e resposta podem ser usados para treinar réplicas parciais.
- Contas corporativas e pessoais usadas para consultas de IA sobre empresas, cargos técnicos, salários, credenciais, e-mails e alvos específicos.
- Endpoints Windows com sinais de compilação C# dinâmica, execução em memória e uso incomum de componentes
.NETligados aCSharpCodeProvider. - Fluxos de phishing com personas de recrutamento, falsas corretoras de criptomoedas, páginas ClickFix e instruções hospedadas em recursos públicos de IA generativa.
- APIs de modelo expostas a grande volume de consultas repetitivas, especialmente sequências voltadas a reproduzir raciocínio, respostas em idiomas não ingleses e comportamento em muitas tarefas.
A investigação deve unir telemetria de identidade, endpoint, proxy, DNS, EDR, CASB, logs de IA corporativa e registros de uso de API. Em contas de IA, procure consultas repetidas sobre funcionários, cargos, salários, estrutura de empresas de defesa ou segurança e coleta de e-mails. Isoladamente, esse tipo de pesquisa pode ser ambíguo; a força do sinal aumenta quando aparece junto de criação de personas, consultas sobre vulnerabilidades, geração de scanners, depuração de código ofensivo ou acessos a partir de contas novas, regiões incomuns e padrões fora do perfil do usuário.
No endpoint, HONESTCUE exige atenção a sinais de execução sem arquivo e compilação dinâmica. Como a cadeia descrita usa resposta de API para produzir código C# e executá-lo em memória, a ausência de arquivo final em disco não deve encerrar a análise. Eventos de criação de processo, carregamento de assemblies, uso de runtime .NET, conexões externas próximas a atividades de compilação e execução de binários temporários ou processos anômalos devem ser correlacionados. Em campanhas ClickFix, a telemetria deve conectar navegação para páginas compartilhadas, instruções de correção suspeitas e execução subsequente de componentes de roubo de informações.
- Volume anormal de prompts, consultas em sequência e mudanças de idioma em chamadas de API que indiquem extração de comportamento de modelo.
- Consultas corporativas sobre credenciais, endereços de e-mail, perfis técnicos, salários, empresas de defesa e empresas de segurança cibernética.
- Uso incomum de
CSharpCodeProvider, compilação C# em tempo de execução, carregamento de assemblies e execução em memória sem artefato persistente claro. - Acessos a páginas públicas de IA generativa seguidos de execução local, alertas de info-stealer, novos processos filhos do navegador ou alterações de credenciais.
- Criação de domínios, páginas ou interfaces que imitam serviços de criptomoeda e coletam credenciais, especialmente quando associados a fluxos de login fora do padrão.
A resposta deve começar por governança de IA e controle de exposição. Organizações precisam definir quais contas podem usar modelos generativos para tarefas corporativas, quais dados podem ser enviados, quais integrações de API são permitidas e como logs serão preservados para investigação. Para equipes de segurança, o foco imediato é construir detecções que não dependam de uma única assinatura: correlacione consultas suspeitas, criação de conteúdo de engenharia social, tráfego para APIs de IA, execução em memória e sinais de phishing. Em modelos expostos por API, limites de taxa, detecção de consulta sistemática, classificação de intenção e análise de similaridade entre prompts reduzem a viabilidade de extração em escala.
Contra o abuso operacional, a mitigação combina endurecimento de endpoint, treinamento direcionado e revisão de identidade. Funcionários de setores sensíveis devem ser orientados sobre abordagens de recrutamento falso, especialmente quando o contato pede interação fora de canais corporativos ou leva a arquivos, páginas e instruções de correção. Contas que interagiram com páginas ClickFix ou kits de coleta devem passar por redefinição de senha, revogação de sessões e análise de endpoint. Para HONESTCUE, a contenção deve procurar sinais de segundo estágio, tráfego de API associado e execução fileless, com coleta de memória quando tecnicamente viável.
- Auditar contas e chaves de API de IA, remover integrações não autorizadas e preservar logs de prompts, respostas, horários, origem e identidade autenticada.
- Bloquear ou restringir páginas públicas de IA generativa usadas como intermediárias de instruções quando houver correlação com execução local suspeita.
- Criar detecções para compilação dinâmica C#, uso incomum de
.NET, execução em memória e processos filhos anômalos após tráfego para serviços de IA. - Reforçar verificação de contatos de recrutamento, com validação fora do canal inicial para funcionários de defesa, segurança, aeroespacial e energia.
- Aplicar limites e detecção comportamental em APIs de modelo para identificar extração por consultas repetitivas, variações sistemáticas e tentativas de replicar raciocínio.
- Revisar credenciais expostas a páginas de criptomoeda falsas ou fluxos COINBAIT, revogando sessões e tokens associados antes de liberar o usuário para retorno operacional.
0 Comentários