國家級駭客將 Google Gemini 武器化:AI 驅動網路威脅的新時代
2026 年 2 月 12 日 – Google 威脅情報小組(Threat Intelligence Group,GTIG)與 Google DeepMind 發布了一份綜合報告,詳細闡述了國家級對手如何系統地將 Google Gemini 整合到其網路攻擊生命週期中,這項重大發現突顯了生成式 AI(Generative AI)的雙面刃特性。
這份在慕尼黑安全會議(Munich Security Conference)前夕發布的報告強調了一個令人不安的趨勢:來自中國、伊朗和北韓的進階持續性威脅(Advanced Persistent Threat,APT)組織已不僅僅是在進行實驗。這些行動者現在正積極利用生成式 AI 來加速偵察、優化社交工程(Social engineering)活動,甚至在行動期間動態生成惡意代碼。
行動轉型:從實驗到整合
在過去一年中,網路安全社群一直警告大型語言模型(LLMs)可能會降低網路犯罪的門檻。然而,Google 的最新調查結果證實,受國家資助的高階組織正利用這些工具來增強效率和規避能力。
根據報告,這些組織對 Gemini 的使用並非單一模式。不同的行動者根據其特定的戰略目標採用了該技術,範圍從深度的開源情報(Open-source intelligence,OSINT)蒐集到網路釣魚誘餌的即時翻譯。
GTIG 首席分析師 John Hultquist 指出,雖然北韓和伊朗組織是將 AI 用於社交工程的早期採用者,但中國行動者現在正開發更複雜的「代理化(Agentic)」案例,以簡化漏洞研究和代碼故障排除。
威脅行動者輪廓:各國如何利用 AI
報告深入探討了特定 APT 組織 如何利用 Gemini。下表總結了主要的行動者及其觀察到的方法論:
國家級 AI 濫用摘要
| 威脅組織 | 來源 | 主要目標 | Gemini 的主要濫用方式 |
|---|---|---|---|
| APT42 (Charming Kitten) | 伊朗 | 教育、政府、非政府組織 | 翻譯網路釣魚誘餌、優化社交工程人格設定,以及撰寫具說服力的電子郵件。 |
| UNC2970 | 北韓 | 國防與航太 | 綜合 OSINT 以剖析高價值目標;冒充企業招聘人員。 |
| TEMP.Hex (Mustang Panda) | 中國 | 政府與非政府組織(巴基斯坦/歐洲) | 編譯關於分離主義組織和特定個人的結構化數據。 |
| APT31 (Zirconium) | 中國 | 美國工業/政治領域 | 使用「專家級網路安全人格」來自動化漏洞分析和測試計劃。 |
伊朗:精煉欺騙藝術
APT42 是一個歷史上與伊朗伊斯蘭革命衛隊(IRGC)相關的組織,已將 Gemini 深度整合到其社交工程行動中。APT42 以針對研究人員、記者和活動人士而聞名,該組織使用該模型來翻譯內容並修飾網路釣魚郵件的語法,使其與合法的往來信件難以區分。
透過向 Gemini 提供目標對象的傳記,該組織能生成量身定制的藉口——旨在建立即時信任的情境。這種能力使他們能夠彌補語言障礙和文化差異,而這些因素以前曾是潛在受害者的警示訊號。
北韓:工業規模的偵察
對於北韓組織 UNC2970 而言,AI 是間諜活動的戰力倍增器。該組織以國防和航太領域為目標,經常冒充合法的招聘人員來植入惡意軟體。
Google 的分析顯示,UNC2970 利用 Gemini 從專業社交網站(如 LinkedIn)抓取並綜合大量數據。AI 協助他們繪製組織層級圖、識別關鍵技術人員,並撰寫用於魚叉式網路釣魚活動的超高度寫實職位描述。
中國:自動化漏洞研究
包括 TEMP.Hex 和 APT31 在內的中國國家資助行動者,展示了該技術在技術層面上最尖端的一些應用。觀察到這些組織使用 Gemini 來排除其惡意代碼的故障,並研究大眾已知的漏洞。
在一個令人警覺的案例中,一個中國組織利用 Gemini 模擬了「專家級網路安全人格」。這些 AI 代理(Agents)的任務是自動分析軟體漏洞,並生成繞過美國目標安全控制的測試計劃。這表明其正轉向自動化進攻行動,由 AI 代理協助入侵的策劃階段。
AI 原生惡意軟體的興起:「Honestcue」
報告中技術性最強的發現或許是發現了 Honestcue,這是一種在 2025 年 9 月識別出的惡意軟體變種。與攜帶惡意負載的傳統惡意軟體不同,Honestcue 像是一個依賴雲端的空殼。
Honestcue 利用 Google Gemini API 在記憶體中動態生成並執行惡意 C# 代碼。透過將惡意邏輯卸載給 AI 回應,攻擊者實現了兩個目標:
- 模糊化: 依賴靜態檔案分析的傳統防毒工具難以偵測到威脅,因為惡意代碼直到 AI 生成之前都不存在。
- 多型性: AI 生成的代碼在每次執行時可能略有不同,使基於特徵碼的偵測變得複雜。
這種「就地取材(Living off the land)」的方法——現在的「地」變成了雲端 AI 服務——代表了惡意軟體開發的重大演進。
「越獄」生態系統與模型竊取
除了國家級間諜活動外,報告還揭示了日益增長的「越獄即服務(Jailbreak-as-a-Service)」地下經濟。網路犯罪分子正在銷售宣稱是定制、無審查的 AI 模型工具,但這些工具通常只是封裝了 Gemini 或 OpenAI 等商業 API。
其中一個名為 Xanthorox 的工具,標榜自己是用於生成勒索軟體和惡意軟體的私有、自託管 AI。然而,Google 的調查顯示,Xanthorox 只是透過已越獄的合法模型實例來路由提示(Prompts),剝離安全過濾器以提供惡意內容。
此外,受經濟利益驅動的組織正越來越多地進行 模型提取攻擊(Model Extraction Attacks)(MEAs)。這些「蒸餾攻擊」涉及系統性地探測像 Gemini 這樣成熟的模型以提取其訓練模式,從而有效地竊取知識產權來訓練更便宜、更小型的複製模型。雖然這不會危及用戶數據,但對 AI 開發者的競爭優勢構成了嚴重威脅。
Google 的防禦與未來之路
針對這些發現,Google 已採取積極行動,停用了與報告中提到的 APT 組織相關的所有已識別帳戶和資產。該公司強調,雖然對手正將 Gemini 用於內容生成和代碼協助,但沒有證據顯示 Gemini 模型本身的安全性已遭破壞。
報告指出:「對於受政府支持的威脅行動者來說,LLMs 已成為技術研究、目標鎖定以及快速生成細膩網路釣魚誘餌的必備工具。」
Creati.ai 指出,這一發展標誌著威脅格局的永久性轉變。隨著 AI 模型變得更加多模態(Multimodal)且具備代理特性,漏洞被發現與被利用之間的時間差將持續縮短。將 AI 整合到進攻性網路行動中不再是理論上的風險,而是新的交戰標準。
對於企業安全團隊而言,這需要轉向能夠識別 AI 生成異常的行為偵測系統,而不是僅依賴靜態的入侵指標(Indicators of compromise)。隨著 AI 輔助攻擊者與 AI 驅動防禦者之間的軍備競賽加速,AI 供應鏈本身的完整性可能會成為下一個主要戰場。
