Openai heeft onthuld dat het een reeks chatgpt-accounts heeft verboden die waarschijnlijk werden beheerd door Russisch sprekende dreigingsactoren en twee Chinese natiestaat hackinggroepen om te helpen bij malware-ontwikkeling, sociale media-automatisering en onderzoek naar Amerikaanse satellietcommunicatietechnologieën, onder andere.
“De (Russisch sprekende) acteur gebruikte onze modellen om te helpen bij het ontwikkelen en verfijnen van Windows-malware, foutopsporingscode in meerdere talen en het opzetten van hun command-en-controle-infrastructuur,” zei Openai in zijn rapport van dreigingsinformatie. “De acteur demonstreerde kennis van Windows Internals en vertoonde wat operationeel beveiligingsgedrag.”
De Go-Based Malware-campagne is Scopecreep voorgesteld door het bedrijf Artificial Intelligence (AI). Er is geen bewijs dat de activiteit wijdverbreid van aard was.
De dreigingsacteur, per Openai, gebruikte tijdelijke e -mailaccounts om zich aan te melden voor Chatgpt, met behulp van elk van de gemaakte accounts om één gesprek te voeren om een enkele incrementele verbetering te maken voor hun kwaadaardige software. Ze lieten vervolgens het account verlaten en gingen verder naar de volgende.
Deze praktijk van het gebruik van een netwerk van accounts om hun code te verfijnen, benadrukt de focus van de tegenstander op operationele beveiliging (OPSEC), toegevoegd.
De aanvallers verspreidden vervolgens de Ai-assisted malware via een openbaar beschikbare code-repository die een legitieme Crosshair-overlay-tool voor videogames heeft aangedreven genaamd Crosshair X. Gebruikers die uiteindelijk de Trojanized-versie van de software hadden gedownload, had hun systemen geïnfecteerd door een malware-lader die vervolgens zou gaan ophalen van extra payloads van een externe server en deze uitvoerde.
“Van daaruit is de malware ontworpen om een multi-fasen proces te initiëren om privileges te escaleren, heimelijke persistentie vast te stellen, de dreigingsacteur op de hoogte te stellen en gevoelige gegevens te exfiltreren tijdens het ontwijken van detectie,” zei Openai.
“De malware is ontworpen om privileges te escaleren door opnieuw te starten met Shellexecutew en pogingen om detectie te ontwijken door PowerShell te gebruiken om zich programmatisch uit te sluiten van Windows Defender, consolevensters te onderdrukken en timingvertragingen in te voegen.”
Onder andere tactieken opgenomen door Scopecreep omvatten het gebruik van base64-coderen om payloads, DLL-side-loadtechnieken en SOCKS5-proxy’s te verdoezelen om hun bron-IP-adressen te verbergen.
Het einddoel van de malware is om referenties, tokens en cookies te oogsten die zijn opgeslagen in webbrowsers en ze aan de aanvaller te exfiltreren. Het is ook in staat om meldingen te sturen naar een telegramkanaal dat wordt beheerd door de dreigingsacteurs wanneer nieuwe slachtoffers in gevaar worden gebracht.
Openai merkte op dat de dreigingsacteur haar modellen vroeg om een go -codefragment te debuggen met betrekking tot een HTTPS -verzoek, evenals hulp gezocht bij het integreren van telegram -API en het gebruik van PowerShell -opdrachten via Go om Windows Defender -instellingen te wijzigen, specifiek wanneer het gaat om antivirusuitsluitingen toe te voegen.
De tweede groep chatgpt -accounts die door Openai zijn uitgeschakeld, zouden worden geassocieerd met twee hackgroepen die aan China zijn toegeschreven: ATP5 (aka Bronze Fleetwood, Keyhole Panda, Manganese en UNC2630) en APT15 (aka Flea, Nylon Typhoon, Playful Taurus, Royal Apt en Vixen Panda)
Terwijl een subset die zich bezighoudt met de AI-chatbot over zaken met betrekking tot open-source onderzoek naar verschillende entiteiten van interesse en technische onderwerpen, en om scripts of problemen met het oplossen van systeem te wijzigen.
“Een andere subset van de dreigingsactoren leek te proberen de ontwikkeling van ondersteuningsactiviteiten, waaronder Linux System Administration, softwareontwikkeling en infrastructuuropstelling te doen,” zei Openai. “Voor deze activiteiten gebruikten de dreigingsactoren onze modellen om problemen op te lossen, software te wijzigen en onderzoek naar implementatiegegevens uit te voeren.”
Dit bestond uit het vragen om softwarepakketten voor het bouwen van assistentie voor offline implementatie en advies met betrekking tot geconfigureerde firewalls en naamservers. De dreigingsactoren die zich bezighouden met zowel web- als Android -app -ontwikkelingsactiviteiten.
Bovendien hebben de China-gekoppelde clusters bewapend chatgpt om te werken aan een bruut-force script dat kan breken in FTP-servers, onderzoek naar het gebruik van modellen met grote taal (LLMS) om penetratietests te automatiseren en code te ontwikkelen om een vloot van Android-apparaten te beheren om een vloot van Android-apparaten te beheren om een vloot van Android-apparaten te beheren om programmatisch te posten of zoals inhoud op sociale mediaplatforms zoals Facebook, Instagram, Tiktok, Tiktok, Tiktok, Tiktok, en X.
Sommige van de andere waargenomen kwaadaardige activiteitenclusters die chatgpt op snode manieren hebben gebruikt, worden hieronder vermeld –
- Een netwerk, in overeenstemming met het IT -werknemerschema van Noord -Korea, dat de modellen van Openai gebruikte om misleidende werkgelegenheidscampagnes te stimuleren door materialen te ontwikkelen die waarschijnlijk hun frauduleuze pogingen kunnen bevorderen om het aan te vragen, software -engineering en andere externe banen over de hele wereld
- Grijns recensieeen waarschijnlijke activiteit China-Origin die de modellen van Openai gebruikte om bulk berichten op sociale media te genereren in het Engels, Chinees en Urdu over onderwerpen van geopolitieke relevantie voor het land voor het delen op Facebook, Reddit, Tiktok en X
- Operatie high fiveeen activiteit van de Filippijnen die de modellen van Openai gebruikten om bulkvolumes korte opmerkingen in het Engels en Taglish te genereren over onderwerpen met betrekking tot politiek en actuele gebeurtenissen in de Filippijnen voor het delen op Facebook en Tiktok
- Operatie Vague Focuseen China-Origin-activiteit die de modellen van Openai gebruikte om berichten op sociale media te genereren om op X te delen door zich voor te stellen als journalisten en geopolitieke analisten, vragen te stellen over computernetwerkaanval- en exploitatietools en e-mails en berichten van Chinees naar het Engels te vertalen als onderdeel van vermoedelijke pogingen voor sociale engineering.
- Operatie Helgoland BiteEen waarschijnlijke activiteit van Rusland-Origin die de modellen van Openai gebruikte om Russische taalinhoud te genereren over de Duitse verkiezingen van 2025, en bekritiseerde de VS en de NAVO, voor het delen op Telegram en X
- Operatie Oom Spameen China-Origin-activiteit die de modellen van Openai gebruikte om gepolariseerde sociale media-inhoud te genereren die beide zijden van verdeeldheid onderwerpen binnen het Amerikaanse politieke discours ondersteunen voor het delen op Blusky en X
- Storm-2035, een Iraanse invloedsoperatie die de modellen van Openai gebruikte om korte opmerkingen in het Engels en het Spaans te genereren die steun uitten voor Latino-rechten, Schotse onafhankelijkheid, Ierse hereniging en Palestijnse rechten, en prees Iran’s militaire en diplomatieke diplomatieke diplomatieke diplomatieke peper en diplomatieke diplomatieke diplomatieke veroordeling.
- Bediening verkeerd nummerEen waarschijnlijke activiteit van Cambodjaanse origin gerelateerd aan China gerunde taakzwendel syndicaten die de modellen van Openai gebruikten om berichten in korte wervingstijl te genereren in het Engels, Spaans, Swahili, Kinyarwanda, Duits en Haïtiaans Creools die reclame maakten voor hoge salarissen voor triviale taken zoals het leuk vinden van sociale media-berichten
“Sommige van deze bedrijven opereerden door nieuwe rekruten substantiële toetredingskosten in rekening te brengen en vervolgens een deel van die fondsen te gebruiken om bestaande ‘werknemers’ net genoeg te betalen om hun betrokkenheid te behouden,” zei Openai’s Ben Nimmo, Albert Zhang, Sophia Farquhar, Max Murphy en Kimo Bumanglag. “Deze structuur is kenmerkend voor taakzwendel.”
