Grupos cibercriminosos estão usando o Google Gemini para planejar e executar ataques. Um relatório da big tech envolve o APT31, um desses grupos que é patrocinado pelo governo chinês. O relatório aponta que os criminosos usam a IA do Google para assumir a persona de um especialista em segurança cibernética e automatizar a análise de vulnerabilidades — o que gerou planos de testes direcionados contra organizações norte-americanas específicas.
O coletivo, também conhecido como Violet Typhoon, Zirconium e Judgment Panda, usou uma ferramenta chamada Hexstrike, que é um sistema de código aberto construído sobre o Model Context Protocol (MCP).
O Hexstrike permite que modelos de IA como o Gemini executem mais de 150 ferramentas de segurança com diversas capacidades, incluindo varredura de rede e vulnerabilidades, reconhecimento e testes de penetração.
Embora essa ferramenta tenha sido criada originalmente para ajudar hackers éticos e caçadores de bugs a encontrar fraquezas de segurança, criminosos começaram a usá-la para propósitos maliciosos pouco depois de seu lançamento em agosto de 2025.
Hextrike e Gemini: a dupla perfeita
O APT31 usou essa combinação de Gemini com Hexstrike para analisar vários tipos de exploits, incluindo execução remota de código (RCE), técnicas de contorno de firewall de aplicações web (WAF) e injeção SQL, tudo direcionado a alvos específicos nos Estados Unidos. O processo automatizou a coleta de inteligência para identificar vulnerabilidades tecnológicas e pontos fracos nas defesas organizacionais da vítima.
Antes, um atacante precisava passar semanas pesquisando manualmente sobre a vítima, estudando seus sistemas e testando diferentes técnicas de invasão uma por uma. Agora, com a ajuda da IA, o APT31 consegue automatizar esse processo inteiro. A inteligência artificial analisa os sistemas da vítima, identifica pontos fracos e sugere as melhores formas de explorá-los, tudo em questão de horas.
Três passos para o crime perfeito
O grupo focou em três tipos principais de ataques contra organizações americanas específicas. Primeiro, a execução remota de código, que permite ao atacante controlar o computador da vítima à distância, fazendo-o executar programas maliciosos ou roubar dados.
Segundo, técnicas para contornar firewalls de aplicações web, que são as proteções que funcionam como guardas de segurança digital dos sites. A IA testa automaticamente centenas de variações de ataques até encontrar uma forma de passar despercebida.
Terceiro, injeção SQL, que permite ao atacante inserir comandos maliciosos em campos de login de sites para acessar ou roubar informações dos bancos de dados da vítima.
A IA analisou as características únicas de cada organização-alvo, identificou que tecnologias elas usavam e gerou estratégias de ataque personalizadas para cada uma. Enquanto um atacante humano precisaria de dias ou semanas para fazer esse reconhecimento, a inteligência artificial faz em horas, trabalhando continuamente sem pausas.
O que torna isso preocupante
O analista-chefe do Google Threat Intelligence Group, John Hultquist, afirmou que “a adoção dessa capacidade pelos adversários é tão significativa – é o próximo passo a ser dado”.
Ele explica que existem duas áreas principais de preocupação. Primeiro, a capacidade de operar ao longo de toda a intrusão. Anteriormente, a Anthropic, empresa criadora do Claude, relatou que espiões chineses estavam abusando do Claude Code para automatizar a maioria dos elementos de ataques direcionados a empresas de alto perfil e organizações governamentais, e em alguns casos até conseguiram sucesso.
Segundo, automatizar o desenvolvimento de exploração de vulnerabilidades. Essas são duas maneiras pelas quais os adversários podem obter grandes vantagens e avançar pelo ciclo de intrusão com interferência humana mínima. Isso permite que eles se movam mais rápido que os defensores e atinjam muitos alvos.
O problema do “patch gap”
Usar agentes de IA para encontrar vulnerabilidades e testar exploits amplia o que é chamado de “patch gap” – o tempo entre uma falha de segurança se tornar conhecida e uma correção completa ser desenvolvida, implementada e aplicada. Hultquist observou que “é um espaço realmente significativo atualmente. Em algumas organizações, leva semanas para colocar defesas em funcionamento.”
Isso significa que os atacantes agora podem encontrar e explorar vulnerabilidades mais rápido do que as equipes de segurança conseguem corrigi-las. A vítima fica exposta por mais tempo, aumentando dramaticamente o risco de um ataque bem-sucedido.
Outros tipos de ataques com IA identificados
O relatório do Google também identificou outros usos maliciosos de IA, como Ataques de Destilação de Modelos, essencialmente roubo de propriedade intelectual. Nesse caso, atacantes fazem consultas sistemáticas a um modelo de IA maduro para extrair informações sobre como ele funciona e depois usam essas informações para treinar seu próprio modelo.
Isso permite que eles acelerem o desenvolvimento de IA rapidamente e a um custo significativamente menor, sem precisar fazer todo o trabalho de pesquisa e desenvolvimento que a empresa original fez.
Outro tipo de ataque que se aproveita da IA foi o phishing. Defensores costumavam identificar tentativas de phishing por gramática ruim, sintaxe estranha ou falta de contexto cultural. Agora, atacantes usam modelos de linguagem para gerar mensagens hiperpersonalizadas e culturalmente apropriadas que imitam perfeitamente o tom profissional de uma organização ou idioma local.
Isso vai além da simples geração de e-mails para o que é chamado de “phishing de construção de relacionamento”, onde modelos são usados para manter conversas críveis de múltiplas rodadas com as vítimas para construir confiança antes de qualquer carga maliciosa ser entregue.
Além desses golpes, o Google também identificou famílias de malware como HONESTCUE que experimentam usar a API do Gemini para gerar código. O HONESTCUE é um framework de download e lançamento que envia um prompt via API do Google Gemini e recebe código-fonte C# como resposta.
O código gerado opera a funcionalidade de “segundo estágio”, que baixa e executa outra peça de malware. Como o código secundário é compilado e executado diretamente na memória da vítima, não deixa artefatos de carga no disco, dificultando a detecção.
Como o Google está respondendo
O Google tomou várias medidas contra essas atividades.
- Desabilitou todas as contas e projetos associados ao APT31 e outros grupos maliciosos identificados;
- Usou as informações coletadas para fortalecer tanto os classificadores quanto o modelo em si, permitindo que ele se recuse a ajudar com esses tipos de ataques no futuro;
- Está compartilhando práticas recomendadas com a indústria para armar defensores e permitir proteções mais fortes em todo o ecossistema;
- Desenvolveu técnicas para detectar e mitigar tentativas de extração de modelos em tempo real.
No entanto, ainda é possível que grupos cibercriminosos estejam explorando ferramentas de Inteligência Artificial para intensificar seus ataques, por isso, é preciso estar cada vez mais atento a ofertas ou cobranças por e-mail e mensagem, extensões de navegador e sites de pirataria.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.