Hacker yang didukung negara semakin menggunakan kecerdasan buatan untuk meningkatkan kemampuan serangan siber mereka, menurut laporan baru dari Grup Intelijen Ancaman Google (GTIG). Laporan tersebut menyoroti bagaimana aktor dari negara-negara seperti Iran, Korea Utara, China, dan Rusia menggunakan model AI seperti Gemini milik Google untuk melaksanakan kampanye phishing yang canggih dan menciptakan malware.
Laporan AI Threat Tracker triwulanan, yang dirilis hari ini, menguraikan bagaimana para penyerang yang didukung pemerintah ini telah mengintegrasikan AI di seluruh siklus hidup serangan. Integrasi ini telah menghasilkan peningkatan produktivitas yang signifikan di bidang-bidang seperti pengintaian, rekayasa sosial, dan pengembangan malware, yang terutama dicatat selama kuartal terakhir tahun 2025.
Peneliti dari GTIG mencatat bahwa model bahasa besar telah menjadi alat penting bagi para aktor ancaman ini, memungkinkan mereka untuk melakukan penelitian teknis, menargetkan individu tertentu, dan dengan cepat menghasilkan umpan phishing yang canggih. Misalnya, kelompok Iran APT42 memanfaatkan Gemini untuk meningkatkan upaya pengintaian dan taktik rekayasa sosial mereka, secara efektif mengumpulkan alamat email resmi dan merancang skenario yang dapat dipercaya untuk melibatkan target mereka.
Demikian pula, kelompok Korea Utara UNC2970 telah menggunakan Gemini untuk mensintesis intelijen sumber terbuka dan memprofil target bernilai tinggi, mengaburkan batas antara penelitian profesional yang sah dan pengintaian yang berbahaya. Aktivitas mereka termasuk mengumpulkan informasi rinci tentang perusahaan keamanan siber dan pertahanan, yang mereka gunakan untuk menciptakan persona phishing yang sangat disesuaikan.
Laporan tersebut juga menyoroti peningkatan upaya ekstraksi model, atau serangan distilasi, yang bertujuan untuk mencuri kekayaan intelektual dari model AI. Salah satu kampanye menargetkan kemampuan penalaran Gemini dengan lebih dari 100.000 permintaan yang dirancang untuk meniru proses penalarannya. Meskipun GTIG tidak mengamati serangan langsung pada model AI canggih, mereka mengidentifikasi dan menggagalkan banyak upaya ekstraksi model dari entitas sektor swasta dan peneliti yang mencoba mengkloning logika kepemilikan.
Selain itu, GTIG melaporkan munculnya sampel malware, seperti HONESTCUE, yang mengeksploitasi API Gemini untuk menghasilkan fungsionalitas. Malware ini dirancang untuk menghindari metode deteksi tradisional melalui teknik obfuscation yang kompleks. Selain itu, sebuah kit phishing bernama COINBAIT diidentifikasi, kemungkinan dipercepat oleh alat generasi kode AI, yang menyamar sebagai bursa cryptocurrency untuk mengumpulkan kredensial.
Dalam kampanye yang mencolok, aktor ancaman memanipulasi layanan AI generatif untuk menyebarkan konten menipu yang mendistribusikan malware ATOMIC yang menargetkan sistem macOS. Dengan menyisipkan skrip berbahaya dalam instruksi yang tampaknya membantu, penyerang menggunakan domain tepercaya untuk memfasilitasi serangan awal mereka. Laporan tersebut menekankan permintaan yang terus berlanjut untuk alat yang didukung AI di kalangan penjahat siber, meskipun mereka menghadapi tantangan dalam mengembangkan model AI kustom, sering kali terpaksa menggunakan produk komersial yang diakses melalui kredensial yang dicuri.
Google telah menanggapi ancaman ini dengan menonaktifkan akun dan aset yang terkait dengan aktivitas berbahaya dan meningkatkan model mereka untuk mencegah serangan serupa di masa depan. Laporan tersebut diakhiri dengan mengingatkan tim keamanan perusahaan, terutama di kawasan Asia-Pasifik, untuk memperkuat pertahanan mereka terhadap operasi rekayasa sosial dan pengintaian yang ditingkatkan AI, seiring dengan terus berkembangnya lanskap keamanan siber.