A OpenAI revelou que baniu um conjunto de contas do ChatGPT que provavelmente eram operadas por atores de ameaça russófonos e dois grupos de hackers patrocinados pelo estado chinês para auxiliar no desenvolvimento de malware, automação de redes sociais e pesquisa sobre tecnologias de comunicações via satélite dos EUA, entre outras coisas.
"O ator [russofalante] usou nossos modelos para auxiliar no desenvolvimento e refinamento de malware para Windows, depuração de código em várias linguagens e configurando sua infraestrutura de comando e controle," disse a OpenAI em seu relatório de inteligência de ameaças.
O ator demonstrou conhecimento dos mecanismos internos do Windows e exibiu alguns comportamentos de segurança operacional.
A campanha de malware baseada em Go foi codinomeada de ScopeCreep pela empresa de inteligência artificial (AI).
Não há evidências de que a atividade foi generalizada.
O ator de ameaça, conforme a OpenAI, usava contas de e-mail temporárias para se inscrever no ChatGPT, usando cada uma das contas criadas para ter uma única conversa para fazer uma única melhoria incremental em seu software malicioso.
Eles subsequentemente abandonavam a conta e passavam para a próxima.
Essa prática de usar uma rede de contas para aprimorar seu código destaca o foco do adversário em segurança operacional (OPSEC), acrescentou a OpenAI.
Os atacantes então distribuíam o malware assistido por AI através de um repositório de código publicamente disponível que se passava por uma ferramenta legítima de sobreposição de mira para jogos chamada Crosshair X.
Usuários que acabavam baixando a versão trojanizada do software tinham seus sistemas infectados por um carregador de malware que então procedia para recuperar os payloads úteis adicionais de um servidor externo e executá-las.
"De lá, o malware foi projetado para iniciar um processo de múltiplas etapas para escalar privilégios, estabelecer persistência furtiva, notificar o ator de ameaça e exfiltrar dados sensíveis enquanto evitava detecção", disse a OpenAI.
O malware é projetado para escalar privilégios relançando com ShellExecuteW e tenta evitar detecção usando PowerShell para excluir-se programaticamente do Windows Defender, suprimindo janelas do console e inserindo atrasos de tempo.
Entre outras táticas incorporadas pelo ScopeCreep incluem o uso de codificação Base64 para ofuscar payloads úteis, técnicas de carregamento lateral de DLL e proxies SOCKS5 para ocultar seus endereços IP de origem.
O objetivo final do malware é colher credenciais, tokens e cookies armazenados em navegadores web e exfiltrá-los para o atacante.
Também é capaz de enviar alertas para um canal do Telegram operado pelos atores de ameaça quando novas vítimas são comprometidas.
A OpenAI observou que o ator de ameaça pediu a seus modelos para depurar um trecho de código Go relacionado a uma solicitação HTTPS, bem como procurou ajuda com a integração da API do Telegram e usando comandos PowerShell via Go para modificar configurações do Windows Defender, especificamente quando se trata de adicionar exclusões de antivírus.
O segundo grupo de contas do ChatGPT desativadas pela OpenAI diz-se estar associado a dois grupos de hacking atribuídos à China: ATP5 (também conhecido como Bronze Fleetwood, Keyhole Panda, Manganese e UNC2630) e APT15 (também conhecido como Flea, Nylon Typhoon, Playful Taurus, Royal APT e Vixen Panda)
Enquanto um subconjunto interagiu com o chatbot de AI em questões relacionadas à pesquisa de código aberto em várias entidades de interesse e tópicos técnicos, bem como para modificar scripts ou solução de problemas de configurações de sistema.
"Outro subconjunto dos atores de ameaça pareceu estar tentando se engajar no desenvolvimento de atividades de suporte incluindo administração de sistema Linux, desenvolvimento de software e configuração de infraestrutura", disse a OpenAI.
Para essas atividades, os atores de ameaça usaram nossos modelos para solucionar problemas de configurações, modificar software e realizar pesquisa sobre detalhes de implementação.
Isso consistiu em pedir assistência para construir pacotes de software para implantação offline e conselhos relacionados a firewalls configurados e servidores de nomes.
Os atores de ameaça se envolveram em atividades de desenvolvimento tanto para web quanto para aplicativos Android.
Além disso, os clusters ligados à China utilizaram o ChatGPT para trabalhar em um script de força bruta que pode invadir servidores FTP, pesquisa sobre o uso de modelos de linguagem de grande escala (LLMs) para automatizar testes de penetração e desenvolver código para gerenciar uma frota de dispositivos Android para postar ou curtir conteúdo programaticamente em plataformas de mídia social como Facebook, Instagram, TikTok e X.
Alguns dos outros clusters de atividades maliciosas observados que utilizaram o ChatGPT de maneiras nefastas estão listados abaixo:
Uma rede, consistente com o esquema de trabalhador de TI da Coreia do Norte, que usou os modelos da OpenAI para conduzir campanhas de emprego enganosas desenvolvendo materiais que poderiam provavelmente avançar suas tentativas fraudulentas de se candidatar a trabalhos de TI, engenharia de software e outros trabalhos remotos ao redor do mundo
Sneer Review, uma atividade provavelmente de origem chinesa que usou os modelos da OpenAI para gerar em massa posts de mídia social em inglês, chinês e urdu sobre tópicos de relevância geopolítica para o país para compartilhamento no Facebook, Reddit, TikTok e X
Operation High Five, uma atividade de origem filipina que usou os modelos da OpenAI para gerar grandes volumes de comentários curtos em inglês e Taglish sobre tópicos relacionados à política e eventos atuais nas Filipinas para compartilhamento no Facebook e TikTok
Operation VAGue Focus, uma atividade de origem chinesa que usou os modelos da OpenAI para gerar posts de mídia social para compartilhamento no X, posando como jornalistas e analistas geopolíticos, fazendo perguntas sobre ferramentas de ataque e exploração de rede de computadores, e traduzindo e-mails e mensagens do chinês para o inglês como parte de tentativas de engenharia social suspeitas
Operation Helgoland Bite, uma atividade provavelmente de origem russa que usou os modelos da OpenAI para gerar conteúdo em língua russa sobre a eleição alemã de 2025 e criticou os EUA e a OTAN, para compartilhamento no Telegram e X
Operation Uncle Spam, uma atividade de origem chinesa que usou os modelos da OpenAI para gerar conteúdo de mídia social polarizado apoiando ambos os lados de tópicos divisivos dentro do discurso político dos EUA para compartilhamento no Bluesky e X
Storm-2035, uma operação de influência iraniana que usou os modelos da OpenAI para gerar comentários curtos em inglês e espanhol que expressavam apoio aos direitos latinos, independência escocesa, reunificação irlandesa e direitos palestinos, e elogiavam a proeza militar e diplomática do Irã para compartilhamento no X por contas inautênticas posando como residentes dos EUA, Reino Unido, Irlanda e Venezuela.
Operation Wrong Number, uma atividade provavelmente de origem cambojana relacionada a sindicatos de golpes de tarefas administradas pela China que usou os modelos da OpenAI para gerar mensagens curtas de estilo de recrutamento em inglês, espanhol, suaíli, kinyarwanda, alemão e crioulo haitiano que anunciavam altos salários por tarefas triviais como curtir posts de mídia social
"Algumas dessas empresas operavam cobrando taxas substanciais de adesão dos novos recrutas, usando então uma parte desses fundos para pagar 'empregados' existentes o suficiente para manter seu engajamento", disseram Ben Nimmo, Albert Zhang, Sophia Farquhar, Max Murphy e Kimo Bumanglag da OpenAI.
Essa estrutura é característica de golpes de tarefas.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...