Patrocinado por Flowith - Flowith é um espaço de trabalho agêntico baseado em canvas que oferece gratuitamente 🍌Nano Banana Pro e outros modelos e
Flowith - Flowith é um espaço de trabalho agêntico baseado em canvas que oferece gratuitamente 🍌Nano Banana Pro e outros modelos e
icon
Categorias de Ferramentas de IA Agentes de IA MCP Notícias de IARanking Enviar e Publicitar
Entrar

AI News

Hackers de Estados-nação transformam Google Gemini em arma: Uma nova era de ciberameaças impulsionadas por IA

12 de fevereiro de 2026 – Em uma revelação significativa que ressalta a natureza de via dupla da inteligência artificial, o Grupo de Inteligência de Ameaças do Google (GTIG) e o Google DeepMind lançaram um relatório abrangente detalhando como adversários de Estados-nação estão integrando sistematicamente o Google Gemini em seus ciclos de vida de ciberataques.

O relatório, divulgado hoje antes da Conferência de Segurança de Munique, destaca uma tendência perturbadora: grupos de Ameaça Persistente Avançada (Advanced Persistent Threat - APT) da China, Irã e Coreia do Norte foram além da mera experimentação. Esses atores agora estão empregando ativamente a IA Generativa (Generative AI) para acelerar o reconhecimento, refinar campanhas de engenharia social e até mesmo gerar dinamicamente código malicioso durante operações ativas.

O Deslocamento Operacional: Da Experimentação à Integração

Durante o último ano, a comunidade de cibersegurança alertou sobre o potencial de Modelos de Linguagem de Grande Escala (Large Language Models - LLMs) para reduzir a barreira de entrada para cibercriminosos. No entanto, as descobertas mais recentes do Google confirmam que grupos sofisticados patrocinados por estados estão aproveitando essas ferramentas para aumentar a eficiência e as capacidades de evasão.

De acordo com o relatório, o uso do Gemini por esses grupos não é de forma única. Diferentes atores adotaram a tecnologia para se adequar aos seus objetivos estratégicos específicos, variando desde a coleta profunda de inteligência de fontes abertas (Open-Source Intelligence - OSINT) até a tradução em tempo real de iscas de phishing.

John Hultquist, analista-chefe do GTIG, observou que, embora os grupos da Coreia do Norte e do Irã tenham sido adotantes precoces da IA para engenharia social, os atores chineses estão agora desenvolvendo casos de uso agênticos e mais complexos para simplificar a pesquisa de vulnerabilidades e a resolução de problemas de código.

Perfil dos Agentes de Ameaça: Como as Nações estão Explorando a IA

O relatório fornece um olhar detalhado sobre como grupos APT específicos estão utilizando o Gemini. A tabela a seguir resume os principais atores e suas metodologias observadas:

Resumo da Exploração de IA por Estados-nação

Grupo de Ameaça Origem Alvos Principais Principal Uso Indevido do Gemini
APT42 (Charming Kitten) Irã Educação, Governo, ONGs Tradução de iscas de phishing, refinamento de personas de engenharia social e redação de e-mails persuasivos.
UNC2970 Coreia do Norte Defesa e Aeroespacial Sintetização de OSINT para traçar o perfil de alvos de alto valor; personificação de recrutadores corporativos.
TEMP.Hex (Mustang Panda) China Governo e ONGs (Paquistão/Europa) Compilação de dados estruturais sobre organizações separatistas e indivíduos específicos.
APT31 (Zirconium) China Setores Industriais/Políticos dos EUA Uso de "personas especialistas em cibersegurança" para automatizar a análise de vulnerabilidades e planos de teste.

Irã: Refinando a Arte do Engano

O APT42, um grupo historicamente associado ao Corpo de Guardiões da Revolução Islâmica (IRGC) do Irã, integrou fortemente o Gemini em suas operações de engenharia social. Conhecido por visar pesquisadores, jornalistas e ativistas, o APT42 usa o modelo para traduzir conteúdo e polir a gramática de e-mails de phishing, tornando-os indistinguíveis de correspondências legítimas.

Ao alimentar o Gemini com biografias de alvos, o grupo gera pretextos personalizados — cenários projetados para construir confiança imediata. Essa capacidade permite que eles superem barreiras linguísticas e nuances culturais que anteriormente serviam como sinais de alerta para vítimas em potencial.

Coreia do Norte: Reconhecimento em Escala Industrial

Para o grupo norte-coreano UNC2970, a IA serve como um multiplicador de força para espionagem. O grupo visa os setores de defesa e aeroespacial, muitas vezes se passando por recrutadores legítimos para entregar malware.

A análise do Google revela que o UNC2970 usa o Gemini para extrair e sintetizar vastas quantidades de dados de sites de redes profissionais (como o LinkedIn). A IA os ajuda a mapear hierarquias organizacionais, identificar pessoal técnico-chave e redigir descrições de cargos hiper-realistas usadas em campanhas de spear-phishing.

China: Pesquisa de Vulnerabilidades Automatizada

Atores patrocinados pelo estado chinês, incluindo o TEMP.Hex e o APT31, demonstraram algumas das aplicações mais técnicas da tecnologia. Esses grupos foram observados usando o Gemini para depurar seu próprio código de malware e pesquisar vulnerabilidades conhecidas publicamente.

Em um caso alarmante, um grupo chinês utilizou o Gemini para simular "personas especialistas em cibersegurança". Esses agentes de IA foram encarregados de automatizar a análise de vulnerabilidades de software e gerar planos de teste para contornar controles de segurança em alvos baseados nos EUA. Isso sugere um movimento em direção a operações ofensivas automatizadas, onde agentes de IA auxiliam na fase de planejamento de uma intrusão.

A Ascensão do Malware Nativo de IA: "Honestcue"

Talvez a revelação mais técnica no relatório seja a descoberta do Honestcue, uma linhagem de malware identificada em setembro de 2025. Ao contrário do malware tradicional que carrega sua carga maliciosa, o Honestcue funciona como uma casca oca que depende da nuvem.

O Honestcue aproveita a API do Google Gemini para gerar e executar dinamicamente código C# malicioso na memória. Ao transferir a lógica maliciosa para uma resposta de IA, os atacantes alcançam dois objetivos:

  1. Ofuscação: Ferramentas antivírus tradicionais que dependem da análise estática de arquivos têm dificuldade em detectar a ameaça porque o código malicioso não existe até que a IA o gere.
  2. Polimorfismo: O código gerado pela IA pode variar ligeiramente a cada execução, complicando a detecção baseada em assinaturas.

Essa abordagem de "viver da terra" (living off the land) — onde a "terra" é agora um serviço de IA baseado em nuvem — representa uma evolução significativa no desenvolvimento de malware.

O Ecossistema "Jailbreak" e o Roubo de Modelos

Além da espionagem de Estados-nação, o relatório lança luz sobre a crescente economia subterrânea de "Jailbreak como Serviço" (Jailbreak-as-a-Service). Cibercriminosos estão comercializando ferramentas que afirmam ser modelos de IA personalizados e sem censura, mas que muitas vezes são apenas invólucros em torno de APIs comerciais como Gemini ou OpenAI.

Uma dessas ferramentas, a Xanthorox, anuncia-se como uma IA privada e auto-hospedada para gerar ransomware e malware. A investigação do Google, no entanto, revelou que a Xanthorox simplesmente roteia comandos através de instâncias com jailbreak de modelos legítimos, removendo filtros de segurança para entregar conteúdo malicioso.

Além disso, grupos motivados financeiramente estão realizando cada vez mais Ataques de Extração de Modelo (Model Extraction Attacks - MEAs). Esses "ataques de destilação" envolvem a sondagem sistemática de um modelo maduro como o Gemini para extrair seus padrões de treinamento, roubando efetivamente a propriedade intelectual para treinar modelos clones menores e mais baratos. Embora isso não comprometa os dados do usuário, representa uma ameaça severa à vantagem competitiva dos desenvolvedores de IA.

A Defesa do Google e o Caminho a Seguir

Em resposta a essas descobertas, o Google tomou medidas agressivas, desativando todas as contas e ativos identificados associados aos grupos APT mencionados no relatório. A empresa enfatizou que, embora os adversários estejam usando o Gemini para geração de conteúdo e assistência de codificação, não há evidências de que a segurança do próprio modelo Gemini tenha sido comprometida.

"Para atores de ameaça apoiados por governos, os LLMs tornaram-se ferramentas essenciais para pesquisa técnica, segmentação e a geração rápida de iscas de phishing matizadas", afirma o relatório.

O Creati.ai observa que esse desenvolvimento sinaliza uma mudança permanente no cenário de ameaças. À medida que os modelos de IA se tornam mais multimodais e agênticos, a janela entre a descoberta de uma vulnerabilidade e sua exploração continuará a diminuir. A integração da IA em operações cibernéticas ofensivas não é mais um risco teórico — é o novo padrão de engajamento.

Para as equipes de segurança empresarial, isso exige uma mudança em direção a sistemas de detecção baseados em comportamento, capazes de identificar anomalias geradas por IA, em vez de confiar apenas em indicadores estáticos de comprometimento. À medida que a corrida armamentista entre atacantes habilitados por IA e defensores impulsionados por IA acelera, a própria integridade da cadeia de suprimentos de IA provavelmente se tornará o próximo grande campo de batalha.

12 de fevereiro de 2026
Google GeminiCibersegurançaSegurança de IAGrupos APTHackers de Estado-nação
therecord.media
infosecurity-magazine.com
Em Destaque