A OpenAI informou que bloqueou vários grupos de hackers norte-coreanos de usar sua plataforma ChatGPT para pesquisar futuros alvos e encontrar maneiras de invadir suas redes.
"Bloqueamos contas que demonstraram atividades potencialmente associadas a atores de ameaças afiliados à República Popular Democrática da Coreia (RPDC), conforme divulgado publicamente," disse a empresa em seu relatório de inteligência de ameaças de fevereiro de 2025.
"Algumas dessas contas envolveram-se em atividades envolvendo TTPs consistentes com um grupo de ameaças conhecido como VELVET CHOLLIMA (também conhecido como Kimsuky, Emerald Sleet), enquanto outras contas estavam potencialmente relacionadas a um ator avaliado por uma fonte credível como ligado ao STARDUST CHOLLIMA (também conhecido como APT38, Sapphire Sleet)."
As contas agora banidas foram detectadas usando informações de um parceiro da indústria.
Além de pesquisar quais ferramentas usar durante ciberataques, os atores de ameaças usaram ChatGPT para encontrar informações sobre tópicos relacionados a criptomoedas, que são interesses comuns ligados a grupos de ameaças patrocinados pelo estado norte-coreano.
Os atores maliciosos também usaram ChatGPT para auxílio em programação, incluindo ajuda sobre como usar ferramentas de Administração Remota de Código Aberto (RAT), bem como depuração, pesquisa e assistência no desenvolvimento para ferramentas de segurança e códigos de fonte aberta e públicos que poderiam ser usados em ataques de força bruta ao Protocolo de Desktop Remoto (RDP).
Analistas de ameaças da OpenAI também descobriram que os atores norte-coreanos revelaram URLs de preparação para binários maliciosos desconhecidos para fornecedores de segurança na época, enquanto depuravam locais de ponto de extensibilidade de auto-início (ASEP) e técnicas de ataque no macOS.
Essas URLs de preparação e os arquivos executáveis compilados associados foram submetidos a um serviço de varredura online para facilitar o compartilhamento com a comunidade de segurança mais ampla.
Como resultado, alguns fornecedores agora detectam de forma confiável esses binários, protegendo possíveis vítimas de ataques futuros.
Outras atividades maliciosas descobertas pela OpenAI ao pesquisar de quais maneiras os atores de ameaças norte-coreanos usaram as contas banidas incluem, mas não estão limitadas a:
- Perguntar sobre vulnerabilidades em várias aplicações,
- Desenvolvimento e solução de problemas de um cliente RDP baseado em C#,
- Solicitar código para contornar avisos de segurança para RDP não autorizado,
- Solicitar diversos scripts PowerShell para conexões RDP, upload/download de arquivos, execução de código da memória e obfuscação de conteúdo HTML,
- Discutir a criação e implantação de payloads úteis obfuscadas para execução,
- Buscar métodos para conduzir phishing e engenharia social direcionada contra investidores e comerciantes de criptomoedas, assim como conteúdo de phishing mais genérico,
- Elaborar e-mails de phishing e notificações para manipular os usuários a revelar informações sensíveis.
A empresa também baniu contas ligadas a um potencial esquema de trabalhadores de TI norte-coreanos, descrito como tendo todas as características de esforços para obter renda para o regime de Pyongyang, enganando empresas ocidentais a contratar norte-coreanos.
"Após parecerem ganhar emprego, eles usaram nossos modelos para realizar tarefas relacionadas ao trabalho, como escrever código, solucionar problemas e se comunicar com colegas de trabalho", explicou a OpenAI.
Eles também usaram nossos modelos para elaborar histórias de cobertura para explicar comportamentos incomuns, como evitar chamadas de vídeo, acessar sistemas corporativos de países não autorizados ou trabalhar em horários irregulares.
Desde outubro de 2024, quando publicou seu relatório anterior, a OpenAI também detectou e interrompeu duas campanhas originárias da China, "Peer Review" e "Sponsored Discontent".
Estas campanhas usaram os modelos ChatGPT para pesquisar e desenvolver ferramentas ligadas a uma operação de vigilância e gerar artigos em espanhol anti-americanos.
No relatório de outubro, a OpenAI revelou que, desde o início de 2024, interrompeu mais de vinte campanhas ligadas a operações cibernéticas e operações de influência secreta associadas a hackers patrocinados pelos estados iraniano e chinês.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...