Cyberprzestępcy sięgają po AI. Microsoft ujawnia, jak zmienia się krajobraz zagrożeń

Sztuczna inteligencja coraz częściej trafia w ręce cyberprzestępców. Według najnowszego raportu zespołu Microsoft Threat Intelligence generatywne modele językowe są wykorzystywane niemal na każdym etapie cyberataku, a technologia znacząco przyspiesza działania hakerów i obniża próg wejścia dla mniej zaawansowanych technicznie grup przestępczych.

Raport przygotowany przez zespół Microsoft Threat Intelligence pokazuje, że sztuczna inteligencja staje się ważnym elementem narzędzi wykorzystywanych przez cyberprzestępców. Modele generatywne pomagają im w zadaniach takich jak rekonesans, przygotowanie kampanii phishingowych, tworzenie infrastruktury ataku, rozwijanie złośliwego oprogramowania oraz działania po przełamaniu zabezpieczeń.

„Microsoft Threat Intelligence zaobserwował, że większość złośliwego wykorzystania AI koncentruje się obecnie na użyciu modeli językowych do tworzenia tekstów, kodu lub treści multimedialnych. Atakujący wykorzystują generatywną AI do tworzenia wiadomości phishingowych, tłumaczenia treści, podsumowywania skradzionych danych, generowania lub debugowania malware oraz przygotowywania skryptów i infrastruktury” – ostrzegają analitycy Microsoft.

Według raportu sztuczna inteligencja pełni obecnie rolę swoistego „multiplikatora siły”. Oznacza to, że przyspiesza realizację zadań i zmniejsza bariery techniczne, jednak kluczowe decyzje nadal podejmują ludzie. To operatorzy wybierają cele, planują działania i decydują o sposobie przeprowadzenia ataku.

W praktyce oznacza to, że cyberprzestępcy mogą szybciej przygotować kampanie phishingowe, generować wiarygodne wiadomości w różnych językach czy automatycznie analizować skradzione dane.

Fałszywi pracownicy IT i generowane przez AI tożsamości

Raport wskazuje także konkretne grupy cyberprzestępcze wykorzystujące AI. Wśród nich znajdują się, powiązane z Koreą Północną, Jasper Sleet (Storm-0287) oraz Coral Sleet (Storm-1877).

Grupy te wykorzystują sztuczną inteligencję między innymi w schematach związanych z zatrudnianiem fałszywych pracowników IT w zachodnich firmach. AI pomaga w tworzeniu realistycznych tożsamości, życiorysów zawodowych oraz komunikacji z pracodawcami.

Według analityków Jasper Sleet używa generatywnej AI do tworzenia list nazwisk dopasowanych kulturowo do określonych krajów oraz schematów adresów e-mail odpowiadających konkretnym tożsamościom. Narzędzia AI analizują także oferty pracy dla programistów i specjalistów IT, aby wyodrębnić wymagane umiejętności. Na tej podstawie powstają fałszywe profile kandydatów.

AI w rozwoju malware i infrastruktury ataku

Sztuczna inteligencja jest również wykorzystywana do tworzenia i modyfikowania złośliwego oprogramowania. Hakerzy używają narzędzi programistycznych opartych na AI do generowania fragmentów kodu, poprawiania błędów czy przenoszenia malware pomiędzy różnymi językami programowania.

Microsoft zauważył także eksperymenty z malware wspieranym przez AI, które może dynamicznie generować skrypty lub zmieniać zachowanie podczas działania. Choć takie rozwiązania są wciąż na wczesnym etapie, pokazują kierunek rozwoju cyberataków.

Natomiast Grupa Coral Sleet wykorzystuje AI do szybkiego tworzenia fałszywych stron internetowych firm, budowy infrastruktury ataków oraz testowania jej działania.

Nowy etap wyścigu cyberbezpieczeństwa

Eksperci podkreślają, że mimo rosnącej roli sztucznej inteligencji większość cyberataków nadal przypomina klasyczne operacje hakerskie. AI pełni rolę narzędzia wspomagającego, a nie autonomicznego systemu prowadzącego atak.

Microsoft zaleca firmom wzmocnienie systemów zarządzania tożsamością, monitorowanie nietypowego użycia kont oraz zwiększenie ochrony przed phishingiem. Szczególną uwagę należy zwrócić na ryzyko związane z pracownikami posiadającymi dostęp do systemów, ponieważ wiele kampanii wykorzystuje właśnie takie scenariusze.

Podobne obserwacje publikują również inne firmy technologiczne. Google informował niedawno o wykorzystywaniu modeli Gemini przez cyberprzestępców na różnych etapach ataków. Z kolei Amazon wskazywał na kampanie wykorzystujące generatywną AI, które doprowadziły do włamań do ponad 600 zapór sieciowych FortiGate.