Η Google προειδοποιεί, το AI αλλάζει ριζικά τις κυβερνοαπειλές

Τι αποκαλύπτει η έκθεση Google Threat Intelligence Group (GTIG) για τις απειλές του μέλλοντος

Η Google Threat Intelligence Group (GTIG) δημοσίευσε στις 6 Νοεμβρίου 2025 την έκθεση με τίτλο “GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools”, περιγράφοντας μία σαφή μεταστροφή στο τοπίο των κυβερνοαπειλών: οι επιτιθέμενοι δεν χρησιμοποιούν πλέον την τεχνητή νοημοσύνη (AI) μόνο για αύξηση παραγωγικότητας, αλλά ενσωματώνουν AI απευθείας σε κακόβουλο λογισμικό που εκτελείται σε πραγματικό χρόνο.
Αυτή η αλλαγή σηματοδοτεί μία “νέα εποχή” όπου οι απειλές γίνονται πιο αυτοδύναμες και προσαρμοστικές — κάτι που θα απαιτήσει αναθεωρημένες προσεγγίσεις άμυνας.

Τι νέο εντοπίζει η έκθεση GTIG

“Just-in-time” AI σε κακόβουλα προγράμματα

Η έκθεση επισημαίνει για πρώτη φορά ότι οικογένειες malware όπως PROMPTFLUX και PROMPTSTEAL χρησιμοποιούν μοντέλα γλώσσας (LLM) κατά τη διάρκεια εκτέλεσης — όχι απλώς πριν την επίθεση — για να ανα­δημιουργούν τον κώδικά τους, να συγκαλύπτουν λειτουργίες και να ακυρώνουν στατικές υπογραφές ανίχνευσης.
Παράδειγμα: Το PROMPTFLUX γράφει VBScript που καλεί το API του Gemini για να ξαναγράψει τον εαυτό του κάθε μία ώρα, δημιουργώντας έναν «ρομπότ-σκέψης» που συνεχώς μεταλλάσσεται.
Το PROMPTSTEAL χρησιμοποιεί ανοικτά LLM που φιλοξενούνται στο Hugging Face ώστε να παράγουν εντολές Windows που συλλέγουν αρχεία και δεδομένα συστήματος — μια μορφή δυναμικής εξόρυξης δεδομένων.

Κοινωνική μηχανική + παράκαμψη «φυλακίων» AI

Οι επιτιθέμενοι χρησιμοποιούν πιο εξεζητημένες τεχνικές κοινωνικής μηχανικής για να παρακάμψουν τους μηχανισμούς ασφαλείας των LLM. Για παράδειγμα, εμφανίζονται ως μαθητές, ερευνητές ή συμμετέχοντες σε «capture-the-flag» διαγωνισμούς ώστε να εξαπατήσουν το Gemini και να αποσπάσουν πληροφορίες για ευπάθειες.

Εμπορική, υπόγεια αγορά AI εργαλείων

Η έκθεση καταγράφει ότι η «υπόγεια αγορά» παροχής εργαλείων AI για hack­ing είναι πλέον ώριμη: προσφέρονται συνδρομητικά εργαλεία που κάνουν phishing, deepfake, ανάπτυξη malware, με μειωμένο τεχνικό κατώφλι εισόδου για επιτιθέμενους.

Κράτη-χορηγοί & πλήρης κύκλος επίθεσης

Η έκθεση διαπιστώνει ότι ομάδες που υποστηρίζονται από κράτη (όπως από τη Βόρεια Κορέα, το Ιράν και την Κίνα) χρησιμοποιούν αυτά τα εργαλεία AI σε όλα τα στάδια: από reconnaissance, phishing, παράδοση payload, command & control, έως εξαγωγή δεδομένων.

Γιατί αυτή η αλλαγή σημαίνει πολλά

• Προσαρμοστικότητα: Το malware που αλλάζει δυναμικά τον κώδικά του (όπως το PROMPTFLUX) καθιστά τις παραδοσιακές υπογραφές ανίχνευσης λιγότερο αποτελεσματικές.
• Αυτονομία: Οι επιτιθέμενοι μεταβαίνουν από «βοηθητικά εργαλεία AI» σε πλήρως ενσωματωμένα «νοητικά» malware agents.
• Χαμηλότερο τεχνικό όριο εισόδου: Η διαθεσιμότητα εργαλείων AI-malware – ως συνδρομητικά πακέτα – διευρύνει τη βάση επιτιθέμενων.
• Εξάπλωση μέσω κρατών: Η συμμετοχή κρατικών φορέων υποδηλώνει ότι η τεχνολογία AI-malware εξελίσσεται γρήγορα και θα επηρεάσει κρίσιμες υποδομές.
• Νέα ανάγκη άμυνας: Οι οργανισμοί πρέπει όχι μόνο να φρουρούν τα δίκτυά τους αλλά και να αντιλαμβάνονται την «λογική-AI» του επιτιθέμενου.

Τι μπορούν να κάνουν οργανισμοί και επαγγελματίες ασφάλειας

1. Επαναξιολόγηση υπογραφών: Τα παραδοσιακά σχήματα ανίχνευσης δεν επαρκούν — απαιτείται ανάλυση συμπεριφοράς, dynamic instrumentation και AI-driven ανίχνευση.
2. Ρύθμιση πρόσβασης σε LLM: Οι επιχειρήσεις που χρησιμοποιούν LLM πρέπει να διασφαλίσουν πως δεν μπορούν να χρησιμοποιηθούν ως «όπλα» κατά της ίδιας της επιχείρησης.
3. Red teaming με AI: Προσομοιώσεις επιθέσεων που αξιοποιούν AI, για να δοκιμαστούν τα συστήματα άμυνας.
4. Κυκλική ασφάλεια AI-συστήματος: Η ίδια η χρήση AI πρέπει να συνοδεύεται από τo Secure AI Framework (SAIF) της Google ή παρόμοιες κατευθύνσεις για την ανάπτυξη και παρακολούθηση των μοντέλων AI.
5. Ενημέρωση προσωπικού: Η κοινωνική μηχανική εξελίσσεται — το προσωπικό πρέπει να είναι εκπαιδευμένο για αναγνώριση νέων μορφών απάτης (π.χ. deepfakes, AI-phishing).
6. Συνεργασία με παρόχους ασφαλείας: Ορατότητα και πληροφορίες απειλών μπορούν να μοιράζονται ευρύτερα — π.χ. μέσω threat intelligence feeds, ISACs.

Συμπέρασμα

Η ανακοίνωση της GTIG επιβεβαιώνει ότι εισερχόμαστε σε μια νέα φάση του κυβερνοπολέμου όπου η τεχνητή νοημοσύνη παίζει αποφασιστικό ρόλο — όχι ως εργαλείο, αλλά ως ενεργό στοιχείο κακόβουλων δράσεων. Οι οργανισμοί που παραμένουν με στρατηγικές προ ετών κινδυνεύουν να βρεθούν απροετοίμαστοι. Η προσαρμογή — τεχνολογική, οργανωτική και εκπαιδευτική — είναι πλέον επείγουσα.

Πηγές

• GTIG, GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools, Google Cloud Blog. (Google Cloud)
• Η έκθεση της Google. (Google Services)