Operai dice que ha impedido que varios grupos de piratería norcoreanos usen su plataforma CHATGPT para buscar objetivos futuros y encontrar formas de piratear sus redes.
“Hemos prohibido cuentas que demuestren una actividad potencialmente asociada con la República Popular de Corea (RPDC) informada públicamente por los actores en la amenaza afiliada” dicho En su informe de inteligencia sobre las amenazas de febrero de 2025.
“Algunas de estas historias se han involucrado en una actividad que involucra a TTP que cumple con un grupo de amenazas conocidas como Velvet Chollima (alias Kimsuky, esmeralda aguanieve), mientras que otras cuentas estaban potencialmente vinculadas con un actor que fue evaluado por una fuente creíble vinculada a Chollima Stardest Chollima (También conocido como apt38, zafiro).
Las cuentas ahora boscosas se detectaron utilizando información de un socio de la industria. Además de buscar las herramientas que se utilizarán durante los ataques cibernéticos, los actores de amenaza usaron ChatGPT para encontrar información sobre sujetos relacionados con la criptomoneda, que son intereses comunes vinculados a grupos de amenazas patrocinadas por el Estado del Norte -Coriano.
Los actores maliciosos también utilizaron ChatGPT para la asistencia del código, en particular la ayuda sobre cómo utilizar herramientas de administración remota de código abierto (RAT), así como la asistencia de depuración, investigación y desarrollo para herramientas de seguridad y el código de código abierto y accesible para el público que podría usarse en ataques brutos del protocolo de oficina remoto (RDP).
Los analistas de amenazas de Operai también encontraron que los actores norcoreanos han revelado URL de puesta en escena para binarios maliciosos desconocidos de proveedores de seguridad en ese momento, mientras que debita las ubicaciones del punto de extensibilidad (ASEP) y las técnicas de ataque de macOS.
Estas URL de estadificación y los archivos ejecutables compilados asociados estaban sujetos a un servicio de escaneo en línea para facilitar el intercambio con la comunidad de seguridad más amplia. En consecuencia, algunos proveedores ahora detectan de manera confiable estos binarios, protegiendo a las posibles víctimas de futuros ataques.
Otras actividades maliciosas descubiertas por OpenAi cuando buscan la forma en que los actores de la amenaza de Corea del Norte usaban cuentas prohibidas, pero sin limitarse:
- Hacer preguntas sobre vulnerabilidades en varias aplicaciones,
- Desarrollar y solucionar problemas de un cliente de RDP basado en C # para activar,
- Solicitud de código para evitar advertencias de seguridad para el RDP no autorizado,
- Pidió muchos scripts de PowerShell para conexiones RDP, descarga / descarga de archivos, ejecución del código desde la memoria y el contenido HTML oscuro,
- Discute la creación y el despliegue de cargos útiles oscurecidos para la ejecución,
- Buscar métodos para llevar a cabo phishing e ingeniería social específicas contra inversores y comerciantes de criptomonedas, así como contenido de phishing más genérico,
- Cree correos electrónicos y notificaciones de phishing para manipular a los usuarios para revelar información confidencial.
La Compañía también ha prohibido cuentas relacionadas con un posible programa de trabajadores de TI de Corea del Norte, descrita que tiene todas las características de los esfuerzos para obtener ingresos para el régimen de Pyongyang al alentar a las empresas occidentales a contratar a los norcoreanos.
“Después de parecer obtener empleo, utilizaron nuestros modelos para realizar tareas relacionadas con el trabajo, como escribir código, solución de problemas y mensajes con colegas”, dijo OpenAi. “También usaron nuestros modelos para diseñar historias de cobertura para explicar un comportamiento inusual, como evitar las videollamadas, acceder a sistemas comerciales desde países no autorizados o trabajar horas irregulares”.
Desde octubre de 2024, cuando publicó su informe anterior, OpenAi también detectó e interrumpió dos campañas de China, “Revisión de pares” y “Spare Discreeté”. Estas campañas han utilizado modelos CHATGPT para buscar y desarrollar herramientas relacionadas con una operación de vigilancia y generar artículos antiamericanos en español.
En el Informe de octubreOperai reveló que desde principios de 2024, ha interrumpido más de veinte campañas vinculadas a operaciones cibernéticas y operaciones secretas asociadas con piratas iraníes y chinos patrocinadas por el estado.