Principais destaques
- Grupos patrocinados por China, Irã, Coreia do Norte e Rússia estão usando a IA Gemini em todas as fases de ataques cibernéticos
- Relatório do Grupo de Inteligência de Ameaças do Google detalha uso da tecnologia para phishing, malware e espionagem
- Empresa afirma ter desativado contas e reforçado sistemas de proteção contra abuso da plataforma
Um novo relatório divulgado pelo Google revela que hackers apoiados por governos estrangeiros estão utilizando a inteligência artificial Gemini como ferramenta estratégica em operações de ciberataque.
Segundo o documento do Grupo de Inteligência de Ameaças do Google, a tecnologia tem sido explorada desde a fase de reconhecimento inicial até o roubo efetivo de dados.
O estudo aponta atividades associadas a grupos da China, Irã, Coreia do Norte e Rússia, que teriam transformado modelos de linguagem avançados em instrumentos centrais para pesquisa técnica, seleção de alvos e criação de campanhas sofisticadas de phishing.
Atores chineses ampliam uso estratégico da IA
Entre os casos citados está o grupo chinês APT31, que teria utilizado o Gemini assumindo uma persona de especialista em cibersegurança para automatizar análises de vulnerabilidades em alvos nos Estados Unidos. A investigação indica que os criminosos exploraram falhas como execução remota de código, técnicas de evasão de firewalls e injeções SQL.
Outro grupo identificado foi o Temp.HEX, que teria coletado informações detalhadas sobre indivíduos no Paquistão e monitorado organizações separatistas. De acordo com o relatório, essas informações foram posteriormente usadas em campanhas direcionadas.
Além deles, também aparecem no levantamento o iraniano APT42 e o norte-coreano UNC2970, ambos descritos como usuários ativos da IA para acelerar processos técnicos e operacionais.
Nova geração de malware usa API da IA
O relatório destaca ainda o surgimento de uma nova família de malware chamada HONESTCUE, detectada pela primeira vez em setembro de 2025. O código malicioso utiliza a API do Gemini para gerar automaticamente trechos em C# que funcionam como cargas secundárias de ataque.
O diferencial é que o malware opera diretamente na memória do sistema, sem gravar arquivos no disco, o que dificulta sua detecção por antivírus tradicionais.
Pesquisadores também identificaram um kit clandestino chamado Xanthorox, comercializado como uma IA ofensiva personalizada. Na prática, a ferramenta utilizava produtos comerciais, incluindo o Gemini, por meio de chaves de API roubadas de usuários comprometidos.
Ataques tentam copiar a inteligência do modelo
Outro ponto de alerta envolve o aumento dos chamados ataques de destilação, técnica em que agentes maliciosos submetem milhares de comandos ao modelo para tentar replicar sua lógica interna.
Segundo o Google DeepMind, uma das campanhas analisadas realizou cerca de 100 mil consultas com o objetivo de reproduzir a capacidade de raciocínio da IA. A empresa classificou essa prática como roubo de propriedade intelectual, já que permite acelerar o desenvolvimento de sistemas concorrentes com custo reduzido.
O Google informou que desativou contas e infraestruturas associadas às atividades identificadas e afirmou que continua aprimorando seus mecanismos de proteção para evitar novos abusos.
A revelação reforça um debate cada vez mais urgente: à medida que a inteligência artificial avança, também cresce o desafio de impedir que a mesma tecnologia seja usada para fins maliciosos.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
