قراصنة ترعاهم دول يستغلون Gemini في هجمات تجسسية متقدمة

كشفت منصة The Hacker News أن جوجل رصدت مجموعة قرصنة مرتبطة بكوريا الشمالية، تعرف باسم UNC2970، وهي تستغل نموذج الذكاء الاصطناعي Gemini في مرحلة الاستطلاع وجمع المعلومات قبل تنفيذ الهجمات السيبرانية، ضمن ما وصفته الشركة بتسارع واضح في توظيف نماذج الذكاء التوليدي لدعم العمليات الهجومية.​

أوضحت جوجل عبر تقرير صادر عن فريق Google Threat Intelligence Group أن مجموعة UNC2970 استخدمت Gemini في تلخيص معلومات متاحة علنًا وبناء ملفات تعريفية لأهداف عالية القيمة، شملت البحث عن بيانات شركات كبرى في مجال الأمن السيبراني والدفاع، وتحليل أدوار وظيفية ورواتب متخصصة لدعم حملات تصيّد موجهة.​

أشارت الشركة إلى أن هذا السلوك يطمس الحدود بين “بحث مهني عادي” و“استطلاع عدائي”، حيث يعتمد المهاجمون على Gemini لصياغة شخصيات مزيفة أكثر إقناعًا واستهداف نقاط ضعف بشرية في الشركات المستهدفة.​

أكد التقرير أن UNC2970 ليست المجموعة الوحيدة التي دمجت Gemini في أساليب عملها، إذ رصدت جوجل مجموعات تهديد أخرى مدعومة من الصين وإيران تستخدم النموذج في مهام مختلفة، من جمع بيانات حساسة عن الحسابات والبريد الإلكتروني إلى تحليل الثغرات التقنية وتوليد خطط اختبار للاستغلال.​

أوضحت The Hacker News أن مجموعات مثل Mustang Panda وAPT31 وAPT41 وAPT42 استخدمت Gemini في إعداد ملفات عن أهداف محددة، وكتابة شيفرات أولية لأدوات اختراق، وبناء هجمات تصيّد اجتماعي أكثر تخصيصًا، بل وتطوير سكربتات لجمع بيانات من خدمات مثل خرائط جوجل.​

أشارت جوجل إلى أن بعض المهاجمين يحاولون تجاوز أنظمة الأمان عبر تقديم أنفسهم في الطلبات (Prompts) على أنهم “باحثو أمن” أو مشاركون في مسابقات “التقاط العلم” (CTF)، بهدف دفع النظام إلى تقديم مخرجات لا يحصلون عليها في السياق العادي.​

أكد ستيف ميلر، المسؤول عن تهديدات الذكاء الاصطناعي في GTIG، أن جوجل تعمل باستمرار على تحسين أنظمة الحماية والمصنّفات التي ترصد هذا النوع من التحايل، وأن Gemini أصبح أكثر قدرة على التعرف على “الخدع المبنية على تقمص الأدوار” والتعامل معها بشكل آمن، مع تعزيز الحواجز كلما ظهرت أنماط هجومية جديدة.​

أوضحت The Hacker News أن جوجل كشفت أيضًا عن برمجية خبيثة جديدة تحمل اسم HONESTCUE، تستخدم واجهة Gemini البرمجية (API) لتوليد شيفرات المرحلة الثانية من الهجوم عند الطلب، بدل الاعتماد على ملفات ثابتة، ما يصعّب رصدها عبر أنماط التوقيعات التقليدية.​

أشارت التقارير إلى أن HONESTCUE يرسل طلبات إلى Gemini للحصول على شيفرة مكتوبة بلغة C#، ثم يستعين بإطار CSharpCodeProvider في .NET لتجميعها وتشغيلها مباشرة في الذاكرة دون حفظها على القرص، وهو ما يقلل الآثار الرقمية التي يمكن أن يعتمد عليها الباحثون في تحليل الهجوم.​

أكد التقرير أن جوجل رصدت كذلك مجموعة تهديد أُطلق عليها UNC5356، استخدمت أداة ذكاء اصطناعي باسم Lovable AI لتطوير مجموعة تصيّد (Phishing Kit) تحمل اسم COINBAIT، تتخفى في هيئة منصة لتداول العملات المشفرة بهدف سرقة بيانات الدخول من الضحايا.

أوضحت The Hacker News أن هذه المجموعة ليست وحدها، حيث ظهرت أيضًا حملات ClickFix تستغل خاصية مشاركة جلسات الدردشة في منصات الذكاء الاصطناعي لنشر تعليمات مزيفة لـ“حل مشكلة تقنية”، لكنها في الواقع تقود المستخدمين إلى تحميل برمجيات لسرقة المعلومات.​

أشارت جوجل في تقريرها إلى أنها رصدت وأحبطت هجمات لاستخراج النماذج (Model Extraction)، حاول فيها مهاجمون إرسال أكثر من 100 ألف طلب إلى Gemini بهدف بناء نموذج بديل يطابق سلوك النموذج الأصلي عبر مراقبة ردوده على نطاق واسع بلغات غير الإنجليزية.​

ذكرت The Hacker News أن شركة Praetorian نفذت سابقًا تجربة عملية (Proof of Concept) أظهرت أن نموذجًا بديلًا يمكن أن يصل إلى دقة تتجاوز 80% بعد تدريب يعتمد على نحو ألف استعلام فقط ومخرجاتها، ما يؤكد أن سلوك النموذج يمكن أن يُستنسخ حتى مع بقاء أوزان النموذج الأصلية سرية.​

أكدت جوجل، التي أطلقت مبادرة AI Cyber Defense في 2024، أن استخدام المهاجمين للذكاء الاصطناعي بات واقعًا دائمًا، وأنه من المتوقع أن يزيد عدد الهجمات المعززة بالذكاء الاصطناعي وجودتها وسرعتها خلال الفترة المقبلة.​

أوضحت الشركة أن الحل لا يكمن فقط في تشديد ضوابط الأمان على النماذج، بل في تبني الجهات المدافعة – من شركات وحكومات – لأدوات ذكاء اصطناعي دفاعية قادرة على العمل بسرعة الآلة نفسها، لكشف الهجمات وتحليلها والرد عليها في زمن أقرب إلى الزمن الحقيقي.