Araştırmacılar, “UNK_SweetSpecter” adlı Çin bağlantılı bir tehdit aktörünün ABD’deki uzmanlardan üretken yapay zeka (AI) sırlarını toplamayı amaçlayan yakın tarihli bir siber casusluk kampanyası tespit etti.
Tehdit aktörü, SugarGh0st adı verilen uzaktan erişim truva atı (RAT) kötü amaçlı yazılımını kullanarak yapay zeka uzmanlarını hedef alıyor. SugarGh0st, teknoloji şirketleri, devlet kurumları ve akademik kurumlar gibi farklı sektörlerden son derece seçici yapay zeka uzmanlarından oluşan bir listenin sistemlerine sızıyor.
SugarGh0st RAT ilk olarak Kasım 2023’te rapor edildi ancak yalnızca sınırlı sayıda kampanyada gözlemlendi. Bu, ilk kez 2008 yılında Çinli bir tehdit grubuna atfedilen bir araç olan Gh0st RAT’ın özel bir çeşididir. Araştırmacılar, tehdit aktörü UNK_SweetSpecter’ın muhtemelen Çin kökenli olduğundan şüpheleniyor.
Spear-Phishing SugarGh0st Kampanyası Yapay Zeka Uzmanlarını Hedefliyor
Proofpoint araştırmacıları, bu kampanyanın hedeflerinin hepsinin ABD merkezli önde gelen bir yapay zeka organizasyonuyla bağlantılı olduğunu ve farklı yapay zeka temalı e-postalarla kandırıldıklarını keşfetti.
Enfeksiyon zinciri, ücretsiz bir hesaptan gelen ve bir yapay zeka aracıyla ilgili teknik yardım istediğini iddia eden zararsız görünen bir e-postayla başladı. Ekteki zip dosyası, erişim üzerine bir JavaScript bırakıcısı dağıtan bir kısayol dosyası (LNK) içeriyordu. Bu damlalık, tümü Base64’te kodlanmış bir sahte belge, yandan yükleme için bir ActiveX aracı ve şifrelenmiş bir ikili dosya içeriyordu.
Enfeksiyon zinciri, SugarGh0st RAT’ın kurbanın sistemine konuşlandırılması ve saldırganın komuta ve kontrol sunucusuyla iletişim kurulmasıyla sona erdi. Saldırı aşamalarının analizi, grubun C2 iletişimlerini daha önceki bir alandan yeni bir alana kaydırdığını ortaya çıkardı; bu da tespitten kaçınma güdülerine işaret ediyor.
Araştırmacılar, kötü amaçlı yazılımın saldırı zincirinde nispeten basit olmasına rağmen, kampanyanın yapay zekanın hedeflenen doğasının onu önemli kıldığını belirtti. SugarGh0st RAT daha önce Orta ve Doğu Asya’daki hedefli kampanyalarda kullanılmıştı.
Potansiyel Motivasyonlar, Atıf ve Bağlam
Belirli bir ulus devlete doğrudan atıfta bulunulması zor olsa da araştırmacılar, Çince dildeki eserlerin varlığı ve yapay zeka uzmanlarının kesin olarak hedeflenmesinin, Çin bağlantılı tehdit aktörleriyle olası bir bağlantıya işaret ettiği sonucuna vardı. Kampanya aynı zamanda ABD hükümetinin Çin’in üretken yapay zeka teknolojilerine erişimini kısıtlama çabalarıyla da örtüşüyor.
Biden yönetimi tarafından oluşturulan yeni düzenlemeler muhtemelen yapay zeka modellerinin ve verilerinin Rusya, Çin, Kuzey Kore ve İran gibi ABD çıkarlarına düşman olarak gördüğü ülkelere ihracatını kısıtlayacak. Çin Büyükelçiliği eylemi ekonomik baskı ve tek taraflı zorbalık olarak nitelendirdi.
Şubat ayının başlarında Microsoft, Çinli, Rus, Kuzey Koreli ve İranlı tehdit aktörlerinin kampanyaları için OpenAI gibi büyük teknoloji yapay zeka şirketlerinin yapay zeka araçlarından yararlanmaya çalıştıklarını gözlemlediğini bildirmişti.
Raporda, Çinli tehdit aktörlerinin araç ve kimlik avı içeriği geliştirme gibi teknik becerilerini artırmak için yapay zeka araçlarını kullandıkları, Rus tehdit aktörlerinin ise muhtemelen Ukrayna’daki savaşla ilgili uydu ve radar teknolojilerini araştırdıkları gözlemlendiği belirtildi.
Tescilli/kapalı kaynaklı yapay zeka modellerini kısıtlamayı amaçlayan düzenleyici çabalarla birlikte araştırmacılar, bu kampanyanın muhtemelen Çin’e bağlı bir aktörün, politikalar yürürlüğe girmeden önce siber hırsızlık yoluyla üretken yapay zeka sırlarını toplama girişimi olduğunu teorileştiriyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.