Negli ultimi mesi OpenAI ha intensificato le proprie attività di contrasto contro l’uso malevolo di ChatGPT da parte di gruppi hacker provenienti da Russia, Corea del Nord e Cina. L’azienda ha dichiarato di aver individuato e bloccato diversi cluster di attività in cui la propria intelligenza artificiale veniva sfruttata per favorire la creazione di malware e campagne di phishing.

Gruppo collegato alla Russia

Un primo gruppo, collegato all’ambiente cybercriminale russo, avrebbe utilizzato ChatGPT per sviluppare e perfezionare un trojan ad accesso remoto e strumenti per il furto di credenziali, cercando di eludere i controlli di sicurezza. Questi attori avrebbero sfruttato più account ChatGPT per iterare sullo stesso codice, mostrando uno sviluppo continuo piuttosto che semplici test. Nonostante i modelli di linguaggio rifiutassero richieste dirette di produrre codice dannoso, gli hacker aggiravano le restrizioni costruendo pezzo dopo pezzo i vari componenti utili alle proprie attività. Tra i codici generati figurano funzioni per l’offuscamento, il monitoraggio degli appunti e l’esfiltrazione di dati tramite bot Telegram.

Cluster nordcoreano

Il secondo cluster, legato alla Corea del Nord, ha mostrato sovrapposizioni con campagne già note di spear-phishing contro missioni diplomatiche sudcoreane. Questi attori hanno utilizzato ChatGPT per generare malware, sviluppare estensioni per Finder su macOS, configurare VPN su Windows Server e convertire estensioni da Chrome a Safari. Sono state rilevate anche attività di redazione di email di phishing, sperimentazione di servizi cloud e analisi di tecniche come il DLL loading e il furto di credenziali.

Attività del gruppo cinese UNK_DropPitch

Il terzo gruppo, associato all’entità cinese UNK_DropPitch, si è servito dell’intelligenza artificiale per scrivere contenuti di phishing in diverse lingue e ottimizzare strumenti per esecuzioni remote e la protezione del traffico tramite HTTPS. Questo gruppo si è distinto per una competenza tecnica di base ma non particolarmente avanzata.

Altri gruppi e strumenti di sicurezza

Oltre a questi tre cluster principali, OpenAI ha segnalato l’interruzione di account usati per truffe online e operazioni di influenza, provenienti anche da Cambogia, Myanmar, Nigeria e Cina. Gli attori hanno sfruttato ChatGPT per generare contenuti di propaganda, campagne di disinformazione e manipolazione sui social media.

OpenAI ha rilevato che i cybercriminali stanno cercando di mascherare la provenienza AI dei loro contenuti, ad esempio rimuovendo particolari segni di punteggiatura che potrebbero rivelare l’uso di chatbot. Parallelamente, Anthropic ha rilasciato uno strumento open source, Petri, per accelerare la ricerca sulla sicurezza delle AI e valutare i comportamenti dei modelli in scenari rischiosi.