O Google revelou na segunda-feira que identificou um threat actor desconhecido usando um exploit de zero-day que, segundo a empresa, provavelmente foi desenvolvido com um sistema de inteligência artificial (IA).
É a primeira vez que essa tecnologia é associada, em um contexto malicioso no mundo real, à descoberta de vulnerabilidades e à geração de exploit.
A atividade, de acordo com a companhia, seria obra de threat actors ligados ao cibercrime que teriam colaborado para planejar o que o gigante de tecnologia chamou de uma “operação massiva de exploração de vulnerabilidades”.
“Nossa análise de exploits associados a esta campanha identificou uma vulnerabilidade de zero-day implementada em um script Python que permite ao usuário contornar a autenticação de dois fatores (2FA) em uma popular ferramenta de administração de sistemas baseada na web e de código aberto”, afirmou o Google Threat Intelligence Group (GTIG) em um relatório.
A empresa disse que trabalhou com o fornecedor afetado para fazer a divulgação responsável da falha e corrigir o problema, com o objetivo de interromper preventivamente a atividade.
O nome da ferramenta não foi revelado.
Embora não haja evidências de que a ferramenta Gemini, do Google, tenha sido usada para ajudar os threat actors, o GTIG avaliou com alta confiança que um modelo de IA foi usado para facilitar a descoberta e a exploração da falha por meio de um script Python que apresentava características típicas de código gerado por um LLM.
“Por exemplo, o script contém uma grande quantidade de docstrings educacionais, incluindo uma pontuação CVSS alucinada, e usa um formato Python estruturado e excessivamente didático, altamente característico dos dados de treinamento de LLMs, como menus de ajuda detalhados e a classe C ANSI colorida limpa”, acrescentou o GTIG.
A vulnerabilidade, descrita como um contorno de 2FA, exige credenciais válidas de usuário para ser explorada.
Ela decorre de uma falha semântica de lógica em alto nível, resultado de uma suposição de confiança codificada diretamente no sistema, algo que LLMs tendem a identificar com facilidade.
“A IA já está acelerando a descoberta de vulnerabilidades, reduzindo o esforço necessário para identificar, validar e transformar falhas em arma”, disse Ryan Dewhurst, chefe de inteligência de ameaças da watchTowr.
“Essa é a realidade de hoje: descoberta, exploração e ataque estão mais rápidos.
Não estamos caminhando para prazos comprimidos; já vimos os prazos se comprimirem há anos.
Não há clemência por parte dos atacantes, e os defensores não podem optar por sair do jogo.”
A novidade surge em um momento em que a IA não apenas atua como um multiplicador de força para a divulgação e o abuso de vulnerabilidades, mas também permite que atacantes desenvolvam malware polimórfico e conduzam operações autônomas com malware, como observado no caso do PromptSpy, um malware para Android que abusa do Gemini para analisar a tela atual e fornecer instruções para fixar o aplicativo malicioso na lista de apps recentes.
Uma investigação adicional sobre o backdoor revelou um conjunto mais amplo de capacidades que permite ao malware navegar pela interface do Android e monitorar e interpretar de forma autônoma a atividade do usuário em tempo real para decidir o próximo passo por meio de um módulo de agente autônomo.
O PromptSpy também consegue capturar dados biométricos da vítima para reproduzir gestos de autenticação, como o PIN da tela de bloqueio ou um padrão, e recuperar o acesso a um dispositivo comprometido.
Além disso, ele é capaz de impedir a desinstalação ao usar um módulo chamado “AppProtectionDetector”, que identifica as coordenadas na tela do botão “Desinstalar” e exibe uma sobreposição invisível exatamente sobre o botão para bloquear os toques da vítima e dar a impressão de que o comando não responde.
“Embora o PromptSpy inicie com infraestrutura e credenciais padrão codificadas, o malware foi projetado com alta resiliência operacional, permitindo que adversários alternem componentes críticos em tempo de execução sem reinstalar o payload do PromptSpy”, afirmou o Google.
“Especificamente, a infraestrutura de command and control (C2) do malware, incluindo as chaves da API Gemini e o servidor de relay VNC, pode ser atualizada dinamicamente pelo canal C2.
Esse modelo de configuração mostra que os desenvolvedores anteciparam medidas defensivas e projetaram o backdoor para manter sua presença mesmo se endpoints específicos da infraestrutura forem identificados e bloqueados pelos defensores.”
O Google disse ter adotado medidas contra o PromptSpy, desativando todos os recursos ligados à atividade maliciosa.
Nenhum aplicativo contendo o malware foi encontrado na Play Store.
Outros casos de abuso específico do Gemini identificados pela empresa incluem os seguintes.
Um grupo suspeito de espionagem cibernética ligado à China, apelidado de UNC2814, interagiu com o Gemini pedindo que ele assumisse o papel de especialista em segurança de rede para acionar um jailbreak baseado em persona e apoiar pesquisas de vulnerabilidade contra alvos em dispositivos embarcados, incluindo firmware da TP-Link e implementações do Odette File Transfer Protocol (OFTP).
O threat actor norte-coreano conhecido como APT45, também chamado Andariel e Onyx Sleet, enviou “milhares de prompts repetitivos” para analisar recursivamente diferentes CVEs e validar exploits de prova de conceito (PoC).
Um grupo de hackers chinês conhecido como APT27 usou o Gemini para acelerar o desenvolvimento de um aplicativo de gestão de frotas, provavelmente com a intenção de administrar uma rede de operational relay box (ORB).
Um cluster de atividade de intrusão com ligação à Rússia teve como alvo organizações ucranianas para distribuir malware habilitado por IA, apelidado de CANFAIL e LONGSTREAM, ambos usando código-isca gerado por LLM para ocultar sua funcionalidade maliciosa.
Os threat actors também foram vistos experimentando um repositório especializado do GitHub chamado “wooyun-legacy”, criado como um plugin de habilidade de código para o Claude e que reúne mais de 5.000 casos reais de vulnerabilidades coletados pela plataforma chinesa de divulgação WooYun entre 2010 e 2016.
“Ao preparar o modelo com dados de vulnerabilidades, ele facilita o aprendizado em contexto para orientar o modelo a analisar código como um especialista experiente e identificar falhas de lógica que o modelo base talvez não priorizasse”, explicou o Google.
Em outro caso, um threat actor suspeito de alinhamento com a China teria implantado ferramentas agentic como Hexstrike AI e Strix em um ataque contra uma empresa de tecnologia japonesa e uma grande plataforma de cibersegurança do Leste Asiático para realizar descoberta automatizada com supervisão humana mínima.
O Google também afirmou que continua observando atores de operações de informação (IO) da Rússia, Irã, China e Arábia Saudita usando IA para tarefas comuns de produtividade, como pesquisa, criação de conteúdo e localização.
Ao mesmo tempo, chamou atenção para a atividade de ameaça UNC6201, ligada à China, que envolveu o uso de um script Python disponível publicamente para registrar automaticamente e cancelar imediatamente contas premium de LLM.
“Esse processo destaca os métodos que os adversários usam para obter capacidades avançadas de IA em escala, ao mesmo tempo que protegem sua atividade maliciosa de bloqueios de conta”, observou o GTIG.
“Os threat actors agora buscam acesso anônimo e premium aos modelos por meio de middleware profissionalizado e pipelines automatizados de registro para burlar ilegalmente limites de uso.
Essa infraestrutura permite abuso em grande escala dos serviços, ao mesmo tempo em que subsidia as operações por meio de abuso de testes gratuitos e rotação programática de contas.”
Outra atividade ligada à China destacada pelo Google vem do UNC5673, também conhecido como TEMP.Hex, que teria usado diversas ferramentas comerciais disponíveis publicamente e projetos do GitHub para possivelmente facilitar abuso escalável de LLM.
Os achados coincidem com relatórios recentes sobre um mercado cinza em expansão de plataformas de relay de API que permitem a desenvolvedores locais na China acessar ilegalmente o Claude, da Anthropic, e o Gemini.
Esses pontos de relay ou transferência encaminham o acesso a esses modelos de IA por meio de servidores proxy hospedados fora da China continental.
Os serviços são anunciados em marketplaces chineses como Taobao e Xianyu.
Em um estudo publicado em março de 2026, acadêmicos do CISPA Helmholtz Center for Information Security identificaram 17 APIs sombra que afirmam oferecer acesso a serviços oficiais de modelos sem limitações regionais, por meio de acesso indireto.
Uma avaliação de desempenho desses serviços encontrou evidências de substituição de modelo, expondo aplicações de IA a riscos de segurança não intencionais.
“Em benchmarks médicos de alto risco como o MedQA, a precisão do modelo Gemini-2.5-flash cai drasticamente, de 83,82% com a API oficial para cerca de 37,00% em todas as APIs sombra examinadas”, afirmaram os pesquisadores no artigo.
Além disso, os serviços de proxy podem capturar todos os prompts e respostas que passam por seus servidores, dando aos operadores acesso ilegal a um tesouro de dados que poderia ser usado para ajuste fino de modelos e para a realização de destilação de conhecimento ilícita.
Nos últimos meses, ambientes de IA também passaram a ser alvo de adversários como o TeamPCP, também conhecido como UNC6780, expondo desenvolvedores a ataques de supply chain e permitindo que invasores se aprofundem mais em redes comprometidas para exploração posterior.
“Por exemplo, threat actors com acesso aos sistemas de IA de uma organização poderiam usar modelos e ferramentas internas para identificar, coletar e exfiltrar informações sensíveis em escala ou executar tarefas de reconhecimento para avançar dentro de uma rede”, disse o Google.
“Embora o nível de acesso e o uso específico dependam muito da organização e da dependência comprometida, este estudo de caso demonstra a ampliação do cenário de ameaças de supply chain de software para sistemas de IA.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...