Araştırmacılar, ABD’deki uzmanlardan üretken yapay zeka (AI) sırlarını toplamak için kullanan “UNK_SweetSpecter” adlı Çin bağlantılı bir tehdit aktörünün yeni bir siber casusluk kampanyasını tespit etti.
Tehdit aktörü, SugarGh0st adlı uzaktan erişim trojan kötü amaçlı yazılımını kullanarak yapay zeka uzmanlarını hedef alıyor. RAT, teknoloji şirketleri, devlet kurumları ve akademik kurumlar gibi farklı sektörlerden son derece seçici bir yapay zeka uzmanları listesinin sistemlerine sızıyor.
SugarGh0st RAT ilk olarak Kasım 2023’te rapor edilmişti ancak yalnızca sınırlı sayıda kampanyada gözlemlendi. Bu, ilk kez 2008 yılında Çinli bir tehdit grubuna atfedilen bir araç olan Gh0st RAT’ın özel bir çeşididir. Araştırmacılar, tehdit aktörü UNK_SweetSpecter’ın muhtemelen Çin kökenli olduğundan şüpheleniyor.
Spear-Phishing SugarGh0st Kampanyası Yapay Zeka Uzmanlarını Hedefliyor
Proofpoint araştırmacıları, bu kampanyanın hedeflerinin hepsinin, çok farklı yapay zeka temalı e-postalarla kandırılan ABD merkezli önde gelen bir yapay zeka organizasyonuyla bağlantılı olduğunu keşfetti.
Enfeksiyon zinciri, ücretsiz bir hesaptan gelen ve bir yapay zeka aracıyla ilgili teknik yardım istediğini iddia eden zararsız görünen bir e-postayla başladı. Ekteki zip dosyası, erişim üzerine bir JavaScript bırakıcısı dağıtan bir kısayol dosyası (LNK) içeriyordu. Bu damlalık, tamamı base64’te kodlanmış bir sahte belge, yandan yükleme için bir ActiveX aracı ve şifrelenmiş bir ikili dosya içeriyordu.
Enfeksiyon zinciri, SugarGh0st RAT’ın kurbanın sistemine konuşlandırılması ve saldırganın komuta ve kontrol sunucusuyla iletişim kurmasıyla sona erdi. Saldırı aşamalarının analizi, saldırının arkasındaki grubun C2 iletişimlerini daha önceki bir alandan yeni bir alana kaydırdığını ortaya çıkardı; bu da onların tespitten kaçınma güdülerine işaret ediyor.
Araştırmacılar, kötü amaçlı yazılımın saldırı zincirinde nispeten basit olmasına rağmen, yapay zeka uzmanlarının hedeflenmesindeki karmaşıklığın kampanyayı önemli kıldığını belirtti.
SugarGh0st RAT daha önce Orta ve Doğu Asya’daki hedefli kampanyalarda kullanılmıştı.
Potansiyel Motivasyonlar, Atıf ve Bağlam
Belirli bir ulus devlete doğrudan atıf yapmak zor olsa da araştırmacılar, Çince dildeki eserlerin varlığı ve yapay zeka uzmanlarının kesin olarak hedeflenmesinin Çin bağlantılı tehdit aktörleriyle olası bir bağlantı önerdiği sonucuna vardı. Kampanya aynı zamanda ABD hükümetinin Çin’in üretken yapay zeka teknolojilerine erişimini kısıtlama çabalarıyla da örtüşüyor.
Biden yönetimi tarafından oluşturulan yeni düzenlemeler muhtemelen yapay zeka modellerinin ve verilerinin Rusya, Çin, Kuzey Kore ve İran gibi ABD çıkarlarına düşman olarak gördüğü ülkelerden ihracatını kısıtlayacak. Çin Büyükelçiliği, eylemi ekonomik baskı ve tek taraflı zorbalık eylemi olarak nitelendirdi.
Şubat ayının başlarında Microsoft, Çinli, Rus, Kuzey Koreli ve İranlı tehdit aktörlerinin kampanyaları için OpenAI gibi büyük teknoloji yapay zeka şirketlerinin yapay zeka araçlarından yararlanma girişimlerini gözlemlediğini belirtmişti.
Raporda, Çinli tehdit aktörlerinin yapay zeka araçlarını araç ve kimlik avı içeriği geliştirme gibi teknik becerilerini artırmak için kullandıkları, Rus tehdit aktörlerinin ise muhtemelen Ukrayna’daki savaşla ilgili uydu ve radar teknolojilerini araştırdıkları gözlemlendiği belirtildi.
Araştırmacılar, kampanyanın muhtemelen Çin’e bağlı bir aktörün düzenleyici çabalara yanıt olarak siber hırsızlık yoluyla üretken yapay zeka sırlarını toplama girişimi olduğunu öne sürüyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.