В Google сообщили, что прогосударственные хакерские группы из Китая, Ирана, КНДР и России якобы применяют модель Gemini для сопровождения атак на всех этапах — от сбора данных о целях до разработки инфраструктуры управления и утечки информации.
В отчёте подразделения Google Threat Intelligence Group говорится, что злоумышленники используют возможности Gemini как вспомогательный инструмент в своих операциях. По данным аналитиков, активность зафиксирована у группировок из Китая, Ирана, КНДР и России. Среди них упоминаются APT31, Temp.HEX, APT42 и UNC2970. Модель применялась для анализа открытых источников, подготовки фишинговых материалов, перевода текстов, написания и корректировки кода, тестирования уязвимостей и решения технических проблем.
В документе отмечается, что интерес к ИИ-инструментам проявляют не только APT-структуры, но и обычные киберпреступники. Их привлекают сервисы, способные ускорить кампании социальной инженерии, в том числе операции формата ClickFix.
Аналитики GTIG указывают, что Gemini задействовалась в задачах, охватывающих разведку, разработку C2-инфраструктуры и подготовку механизмов вывода данных. В одном из эпизодов китайская группа, по данным Google, представлялась вымышленным экспертом по информационной безопасности и попросила систему автоматизировать анализ уязвимостей в рамках искусственно созданного сценария. Модель направлялась на обработку результатов тестов удалённого выполнения кода, обхода WAF и SQL-инъекций против целей в США.
Другая китайская хакерская группа регулярно использовала Gemini для доработки собственного кода, проведения технических исследований и оценки возможностей вторжения. Иранская APT42 применяла LLM-платформу Google для ускорения подготовки инструментов социальной инженерии, а также для генерации и отладки вредоносных компонентов.
В отчёте также описано внедрение новых функций в уже существующие вредоносные проекты. Среди них фишинговый комплект CoinBait и загрузчик HonestCue. По оценке GTIG, серьёзных технологических скачков пока не зафиксировано, но в Google ожидают дальнейшую интеграцию ИИ в арсенал злоумышленников.
HonestCue, появившийся в конце 2025 года, использует API Gemini для генерации кода на C# для второго этапа атаки, после чего компилирует и исполняет полезную нагрузку в памяти. CoinBait оформлен как одностраничное приложение на React и маскируется под криптовалютную платформу для кражи учётных данных. В его исходниках обнаружены признаки автоматической генерации кода с помощью ИИ.