Valstybių remiami programišiai ginkluoja „Google Gemini“ AI: nauja kibernetinių atakų era

Dirbtinis intelektas tampa kibernetinių nusikaltėlių ginklu

Dirbtinio intelekto revoliucija atnešė ne tik pažangą verslui ir mokslui – ji taip pat suteikė naujų įrankių kibernetiniams nusikaltėliams. 2026 m. vasario 12 d. „Google" grėsmių žvalgybos grupė (GTIG) paskelbė išsamią ataskaitą, kurioje atskleidžia, kad valstybių remiamos programišių grupuotės iš Šiaurės Korėjos, Kinijos, Irano ir Rusijos aktyviai naudoja bendrovės „Gemini" dirbtinio intelekto platformą visose kibernetinių atakų stadijose – nuo žvalgybos ir tikslų identifikavimo iki kenkėjiškos programinės įrangos kūrimo ir duomenų vagystės.

Tai nėra pavieniai bandymai ar eksperimentai. „Google" tyrėjai pabrėžia, kad grėsmių veikėjai perėjo nuo atsargaus AI galimybių zondavimo prie tiesioginio dirbtinio intelekto integravimo į savo operacinius atakų srautus. Kitaip tariant, AI tapo neatsiejama šiuolaikinių kibernetinių operacijų dalimi.

Keturios valstybės, dešimtys grupuočių

GTIG ataskaitoje identifikuotos daugiau nei tuzinas valstybių remiamų programišių grupuočių, kurios naudojo „Gemini" savo tikslams. Didžiausias aktyvumas užfiksuotas iš Kinijos ir Irano grupuočių, tačiau Šiaurės Korėjos ir Rusijos veikėjai taip pat paliko ryškų pėdsaką.

Tarp konkrečiai įvardytų grupuočių – tokios žinomos APT (angl. Advanced Persistent Threat) organizacijos kaip:

• UNC2970 (Šiaurės Korėja) – taip pat žinoma kaip „Lazarus Group", „Diamond Sleet" ir „Hidden Cobra"
• APT31 / „Judgement Panda" (Kinija) – automatizuota pažeidžiamumų analizė
• APT41 (Kinija) – kodo derinimas ir eksploitų kūrimas
• Temp.HEX / „Mustang Panda" (Kinija) – asmenų profilių sudarymas
• APT42 (Iranas) – socialinės inžinerijos kampanijos
• UNC795 (Rusija) – tinklo apvalkalų (angl. web shell) kūrimas

„Google" tyrėjai nustatė, kad vyriausybiniai veikėjai iš mažiausiai 20 šalių naudojo „Gemini", o tai rodo, kad AI piktnaudžiavimas kibernetiniame saugumo lauke yra globalinis reiškinys.

Kaip programišiai naudoja „Gemini"?

Ataskaitoje detaliai aprašomi konkretūs „Gemini" panaudojimo būdai kiekvienoje atakos stadijoje:

Žvalgyba ir tikslų profiliavimas

Šiaurės Korėjos grupuotė UNC2970, garsėjanti ilgamete kampanija „Operation Dream Job", nukreipta prieš aviacijos, gynybos ir energetikos sektorius, naudojo „Gemini" atvirųjų šaltinių žvalgybai (OSINT) sintetinti ir aukštos vertės taikiniams profiliuoti. Grupuotė ieškojo informacijos apie didžiausias kibernetinio saugumo ir gynybos bendroves, analizavo konkrečias technines darbo pozicijas ir atlyginimų lygius – visa tai padėjo kurti įtikinamus fiktyvius darbo pasiūlymus, kurie tapo atakos vektoriumi.

Kinijos grupuotė APT31 integravo „Gemini" su savo „Hexstrike" platforma, automatizuodama žvalgybos procesą – nuo technologinių pažeidžiamumų identifikavimo iki organizacijų gynybos silpnybių nustatymo.

Ginklavimas ir socialinė inžinerija

Irano APT42 naudojo AI sukčiavimo (angl. phishing) laiškų kūrimui keliomis kalbomis, taikinių tyrimui gynybos ir diplomatijos sektoriuose bei metodų, leidžiančių apeiti dažniausiai naudojamas saugumo priemones, paieškai. Grupuotė taip pat kūrė socialinės inžinerijos personas – fiktyvius profilius, skirtus aukoms apgauti.

Kinijos veikėjai naudojo suklastotas kibernetinio saugumo scenarijus, prašydami „Gemini" „išanalizuoti nuotolinio kodo vykdymo (RCE), WAF apėjimo technikas ir SQL injekcijų testavimo rezultatus" prieš konkrečius JAV taikinius.

Kenkėjiškos programinės įrangos kūrimas

Vienas labiausiai nerimą keliantis ataskaitoje aprašytas atvejis – kenkėjiškos programinės įrangos sistema pavadinimu HONESTCUE. Tai koncepcijos įrodymo (angl. proof-of-concept) karkasas, aptiktas 2025 m. pabaigoje, kuris naudoja „Gemini" API C# kodo generavimui antrosios stadijos kenkėjiškai programinei įrangai kurti. Sugeneruotas kodas kompiliuojamas atmintyje naudojant .NET karkasą ir vykdomas be failų (angl. fileless) – tai ypač apsunkina aptikimą tradicinėmis antivirusinėmis priemonėmis.

Taip pat aptikta COINBAIT – „React" technologija paremtas sukčiavimo rinkinys, apsimetantis kriptovaliutų birža. Analizė atskleidė, kad kūrėjai naudojo „Lovable" AI platformą – tai rodo, kaip lengvai prieinami AI įrankiai gali būti panaudoti nusikalstamiems tikslams.

100 000 bandymų „pavogti" modelį

Be tiesioginio „Gemini" naudojimo atakoms, GTIG tyrėjai užfiksavo ir kitą grėsmę – modelio ekstrahavimo (angl. model extraction) atakas. „Google" dokumentavo daugiau nei 100 000 užklausų, skirtų „Gemini" logikos ir sprendimų priėmimo procesų replikavimui keliomis kalbomis.

Ši technika, vadinama modelio ekstrahavimu ir distiliavimu, leidžia užpuolikams:

• Pagreitinti nuosavų AI modelių kūrimą
• Žymiai sumažinti kūrimo kaštus
• Replikuoti „Gemini" funkcionalumą savo sistemose

GTIG tyrėjai tai vadina „intelektine vagyste", kuri „rimtai kenkia AI kaip paslaugos verslo modeliui". Tai reiškia, kad ne tik „Gemini" vartotojai, bet ir pati „Google" tampa auka – jos technologijos ir investicijos gali būti pasisavintos bei panaudotos konkuruojančių ar priešiškų sistemų kūrimui.

AI mažina barjerą kibernetiniams nusikaltimams

Bene svarbiausia ataskaitoje atskleidžiama tendencija – dirbtinis intelektas reikšmingai sumažina barjerą patekti į kibernetinių nusikaltimų pasaulį ir padidina patyrusių operatorių efektyvumą. Užduotys, kurioms anksčiau reikėjo valandų rankinio darbo – organizacijos technologijų steko identifikavimas, konkretaus pažeidžiamumo (CVE) analizė ar kontekstualiai tinkamo sukčiavimo laiško parengimas – dabar gali būti atliktos per minutes, pasitelkus AI.

„Google" nuolat tobulina savo saugumo sistemas, įskaitant aptikimo klasifikatorius, apsaugos priemones ir kitus barjerus, kad užkirstų kelią piktnaudžiavimui iš grėsmių veikėjų pusės," – teigia „Google" tyrėjas Steve'as Milleris.

Tai kelia esminį klausimą visai technologijų pramonei: kaip užtikrinti, kad galingi AI įrankiai, sukurti produktyvumui didinti, netaptų kibernetinio karo ginklais?

„Google" atsakomosios priemonės

Reaguodama į atskleidžiamas grėsmes, „Google" ėmėsi keleto veiksmų:

• Išjungė visas paskyras ir infrastruktūrą, susietą su dokumentuotais piktnaudžiavimo atvejais
• Įdiegė tikslines apsaugos priemones „Gemini" klasifikatoriuose, apsunkinančias piktnaudžiavimą
• Vykdo nuolatinį modelių saugumo testavimą (angl. red teaming)
• Tobulina saugos barjerus (angl. guardrails), skirtus užkirsti kelią kenkėjiškų užklausų apdorojimui

Vis dėlto ekspertai perspėja, kad tai yra nuolatinis „katės ir pelės" žaidimas. Kol AI modeliai tampa galingesni ir prieinamesni, grėsmių veikėjai ieškos naujų būdų juos išnaudoti – naudodami persona paremtas užklausas (apsimesdami saugumo tyrėjais ar „Capture The Flag" varžybų dalyviais), nuolat keisdami taktikas ir ieškodami apsaugos sistemos spragų.

Ką tai reiškia Lietuvai ir Europai?

Nors ataskaitoje daugiausia kalbama apie JAV taikinius, Europos ir Lietuvos organizacijos neturėtų jaustis saugios. Kinijos ir Rusijos remiami programišiai nuolat taiko savo veiklą ir prieš Europos Sąjungos institucijas, gynybos sektoriaus įmones bei kritinę infrastruktūrą.

Šis „Google" pranešimas turėtų tapti perspėjimu visiems: dirbtinio intelekto era atneša ne tik galimybes, bet ir naujas, precedento neturinčias grėsmes. Organizacijoms būtina ne tik investuoti į AI sprendimus, bet ir į apsaugą nuo AI paremtų atakų – nes kibernetiniai nusikaltėliai jau yra žingsniu priekyje.

Šaltiniai

• The Hacker News – Google Reports State-Backed Hackers Using Gemini AI
• BleepingComputer – Google says hackers are abusing Gemini AI for all attacks stages
• Google Blog – GTIG Report on AI Cyber Attacks
• Security Affairs – State-backed hackers exploit Gemini AI