Хакери користеле вештачка интелигенција за да развијат прв познат zero-day напад за заобиколување на двофакторска автентикација (2FA) за масовна експлоатација

Google во понеделникот откри дека идентификувал непознат заканувачки актер кој користел zero-day експлоит, за кој се смета дека најверојатно бил развиен со систем за вештачка интелигенција (AI). Ова претставува прв случај оваа технологија да биде користена во реални напади за откривање ранливости и создавање експлоити.

Активноста се припишува на сајбер-криминални групи кои, според Google, соработувале за да планираат она што компанијата го опишува како „операција за масовна експлоатација на ранливости“.

„Нашата анализа на експлоитите поврзани со оваа кампања идентификуваше zero-day ранливост имплементирана во Python скрипта, која овозможува заобиколување на двофакторска автентикација (2FA) на популарна open-source алатка за веб-базирана системска администрација,“ соопшти Google Threat Intelligence Group (GTIG) во извештај споделен со The Hacker News.

Технолошкиот гигант соопшти дека соработувал со засегнатиот производител за одговорно откривање на пропустот и негово поправање, со цел проактивно да се прекине активноста. Името на алатката не беше откриено.

Иако нема докази дека AI алатката Gemini на Google била користена од напаѓачите, GTIG со висока сигурност процени дека AI модел бил злоупотребен за помош при откривање и оружување на ранливоста преку Python скрипта, која покажува карактеристики типични за код генериран од големи јазични модели (LLM).

„На пример, скриптата содржи голем број образовни docstrings, вклучително и халуциниран CVSS скор, и користи структуриран, ‘учебнички’ Python стил кој е карактеристичен за LLM тренирачки податоци (на пр. детални help менија и чиста _C ANSI color класа),“ додава GTIG.

Ранливоста, опишана како 2FA bypass, бара валидни кориснички акредитиви за експлоатација. Таа произлегува од семантичка логичка грешка на високо ниво, предизвикана од тврдокодирана претпоставка за доверба — нешто во што LLM моделите се особено добри за откривање.

„Вештачката интелигенција веќе ја забрзува откривачката на ранливости, намалувајќи го напорот потребен за нивно идентификување, валидација и претворање во оружје,“ изјави Рајан Девхурст, раководител на одделот за threat intelligence во watchTowr за The Hacker News. „Ова е реалноста денес: откривањето, оружувањето и експлоатацијата се побрзи. Не одиме кон пократки рокови — веќе ги гледаме. Напаѓачите немаат милост, а бранителите немаат избор да се повлечат.“

Развојот доаѓа во време кога AI не само што ја зголемува ефикасноста на откривање и злоупотреба на ранливости, туку и им овозможува на напаѓачите да развиваат полиморфен малициозен софтвер и автономни операции. Тоа е забележано во случајот со PromptSpy, Android малициозен софтвер кој го злоупотребува Gemini за анализа на тековниот екран и добивање инструкции за фиксирање на злонамерната апликација во листата на неодамна користени апликации.

Дополнителната анализа на backdoor-от открива поширок сет на можности, кои му овозможуваат на малициозниот софтвер да управува со Android интерфејсот и автономно да го следи и интерпретира однесувањето на корисникот во реално време за да одреди следен чекор преку автономен агентски модул.

PromptSpy е исто така опремен за собирање биометриски податоци од жртвите за „replay“ на автентикациски гестови, како PIN за заклучен екран или шема (pattern), со цел повторно да се добие пристап до компромитиран уред. Дополнително, способен е да спречи деинсталација со користење на модул „AppProtectionDetector“, кој ги идентификува координатите на екранот од копчето „Uninstall“ и поставува невидлив overlay директно над копчето за да ги блокира допирните (touch) настани на жртвата и да создаде впечаток дека копчето не реагира.

„Додека PromptSpy се иницијализира со хардкодирана основна инфраструктура и акредитиви, малициозниот софтвер е дизајниран со висока оперативна издржливост, овозможувајќи им на напаѓачите да ги ротираат критичните компоненти во реално време без повторно распоредување на PromptSpy payload-от,“ соопшти Google.

„Конкретно, command-and-control (C2) инфраструктурата на малициозниот софтвер, вклучувајќи ги Gemini API клучевите и VNC relay серверот, може динамички да се ажурира преку C2 каналот. Овој модел на конфигурација покажува дека развивачите предвиделе одбранбени мерки и го дизајнирале backdoor-от да ја задржи присутноста дури и ако одредени инфраструктурни крајни точки бидат идентификувани и блокирани од одбраната.“

Google соопшти дека презел мерки против PromptSpy со исклучување на сите ресурси поврзани со злонамерната активност. Не се откриени апликации што го содржат малициозниот софтвер на Play Store.

Неколку други случаи на злоупотреба поврзана со Gemini откриени од Google се:

• Се сомнева дека кинеска хакерска група наречена UNC2814 користела Gemini така што го поставила како експерт за мрежна безбедност за да активира „persona-driven jailbreaking“ и да помогне во истражување на ранливости во вградени уреди, вклучувајќи TP-Link firmware и Odette File Transfer Protocol (OFTP) имплементации.
• Севернокорејскиот актер за закани познат како APT45 (исто така Andariel и Onyx Sleet) испраќал „илјадници повторувачки prompt-и“ кои рекурзивно анализираат различни CVE ранливости и проверуваат proof-of-concept (PoC) експлоити.
• Кинеска хакерска група APT27 користела Gemini за забрзување на развој на апликација за fleet management со цел најверојатно управување со ORB (operational relay box) мрежа.
• Кластeр од руска поврзана активност таргетирал украински организации со AI-засилен малициозен софтвер наречен CANFAIL и LONGSTREAM, кои користат LLM-генериран „decoy“ код за прикривање на злонамерната функционалност.

Напаѓачи исто така експериментирале со специјализиран GitHub репозиториум „wooyun-legacy“, дизајниран како Claude code skill plugin, кој содржи над 5.000 реални случаи на ранливости собрани од кинеската платформа WooYun во периодот 2010–2016.

„Со „насочување“ (priming) на моделот со податоци за ранливости, се овозможува in-context learning што го насочува моделот да пристапи кон анализа на код како искусен експерт и да идентификува логички грешки на кои основниот модел инаку не би им дал приоритет,“ објасни Google.

На друго место, се наведува дека заканувачки актер поврзан со Кина употребил агентски алатки како Hexstrike AI и Strix во напад насочен кон јапонска технолошка компанија и голема источноазиска сајбер-безбедносна платформа, со цел автоматизирано откривање ранливости со минимален човечки надзор.

Google исто така соопшти дека продолжува да забележува актери за информациски операции (IO) од Русија, Иран, Кина и Саудиска Арабија кои користат AI за вообичаени продуктивни задачи како истражување, создавање содржина и локализација, и покрај тоа што посочи кинески поврзана заканувачка активност од UNC6201 која вклучувала користење јавно достапна Python скрипта за автоматска регистрација и веднаш потоа откажување на премиум LLM сметки.

„Овој процес ги истакнува методите што ги користат напаѓачите за да обезбедат пристап до напредни AI способности во голем обем, додека ја изолираат својата злонамерна активност од забрани на сметки,“ истакна GTIG.

„Заканувачките актери сега бараат анонимизиран, премиум пристап до модели преку професионализирани посреднички системи (middleware) и автоматизирани регистрации за да ги заобиколат ограничувањата на користење. Оваа инфраструктура овозможува масовна злоупотреба на сервисите, додека операциите се финансираат преку злоупотреба на пробни периоди и програмско циклирање на сметки.“

Друга активност поврзана со Кина, означена од Google како UNC5673 (позната и како TEMP.Hex), користела различни јавно достапни комерцијални алатки и GitHub проекти за најверојатно олеснување на скалабилна злоупотреба на LLM модели.

Наодите се поклопуваат со неодамнешни извештаи за развиен сив пазар на API relay платформи кои им овозможуваат на локални програмери во Кина незаконски пристап до Anthropic Claude и Gemini. Овие „relay“ или „transfer“ станици го насочуваат пристапот до AI моделите преку прокси сервери хостирани надвор од континентална Кина. Услугите се рекламираат на кинески онлајн пазари како Taobao и Xianyu.

Во студија објавена во март 2026 година, истражувачи од CISPA Helmholtz Center for Information Security откриле 17 „shadow API“ сервиси кои тврдат дека обезбедуваат пристап до официјални модели без регионални ограничувања преку индиректен пристап. Евалуацијата на перформансите откри докази за замена на модели, што изложува AI апликации на неочекувани безбедносни ризици.

„На високо ризични медицински бенчмаркови како MedQA, точноста на моделот Gemini-2.5-flash опаѓа драматично, од 83.82% со официјален API до околу 37.00% кај сите анализирани shadow API сервиси,“ наведуваат истражувачите.

Дополнително, proxy сервисите можат да го снимаат секој prompt и одговор што поминува низ нивните сервери, давајќи им на операторите незаконски пристап до огромна количина податоци што може да се користат за дообука на модели и илегално „knowledge distillation“.

Во последните месеци, AI околините станаа мета и на актери како TeamPCP (познат и како UNC6780), изложувајќи ги развивачите на supply chain напади и овозможувајќи им на напаѓачите подлабоко да се вгнездат во компромитирани мрежи за понатамошна експлоатација.

„На пример, заканувачки актери со пристап до организациски AI системи можат да користат интерни модели и алатки за да идентификуваат, собираат и ексфилтрираат чувствителни информации во голем обем или да изведуваат разузнавачки задачи за подлабоко движење низ мрежата,“ соопшти Google. „Иако нивото на пристап и конкретната употреба зависат од организацијата и компромитираната зависност, овој случај покажува проширен пејзаж на софтверски supply chain закани за AI системи.“

Извори:

• The Hacker News – THackers Used AI to Develop First Known Zero-Day 2FA Bypass for Mass Exploitation The Hacker News