概要

Googleは、北朝鮮関連の脅威アクターUNC2970が生成型人工知能（AI）モデルGeminiを悪用して標的探索と攻撃支援に使用していることを報告しました。

詳細

Google Threat Intelligence Group (GTIG)は、この脅威アクターがGeminiを使用してオープンソース情報（OSINT）を合成し、高価値の標的をプロファイリングすることでキャンペーン計画と探索を支援していると述べています。

UNC2970の活動

UNC2970は、主に航空宇宙、防衛、エネルギーセクターを標的にするマルウェア「Operation Dream Job」で知られています。このグループは一貫して国防向けターゲティングと企業リクルーターのなりすましを行ってきました。

他の脅威アクター

• UNC6418 (Unattributed): 感情的なアカウント資格情報やメールアドレスを特定するためのターゲット指向的情報収集。
• Temp.HEX or Mustang Panda (中国): 特定の個人に関する資料を作成し、パキスタンなどの標的に対する操作と構造データを集める。
• APT31 or Judgement Panda (中国): 欠陥を自動的に分析し、ターゲット指向のテスト計画を生成する。

悪用されたAIツール

Googleはまた、Gemini APIを利用して機能生成を行うマルウェア「HONESTCUE」と、仮想通貨取引所として偽装して資格情報を収集する「COINBAIT」を検出したと報告しています。

モデル抽出攻撃

Googleは、Geminiが非英語の言語で広範なタスクにわたるモデルの推論能力を複製するために10万以上のプロンプトを受けていた大規模なモデル抽出攻撃も検出したと述べています。

元記事: https://thehackernews.com/2026/02/google-reports-state-backed-hackers.html