Googles trusseletterretning avslører at statsstøttede hackergrupper systematisk bruker Gemini AI til rekognosering, malware-utvikling og målrettet phishing.
Nord-Korea: Rekognosering
Hackergruppen UNC2970 (kjent som Lazarus Group) bruker Gemini til å profilere høyverdige mål i forsvars- og cybersikkerhetsbransjen.
«Gruppen brukte Gemini til å syntetisere OSINT og profilere høyverdige mål for å støtte kampanjeplanlegging og rekognosering.» — Google Threat Intelligence Group
Kina: Feilsøking av exploit-kode
Flere kinesiske hackergrupper er identifisert:
- Mustang Panda: Samler dossierer på spesifikke personer i Pakistan
- APT31: Automatiserer sårbarhetsanalyse, utgir seg for sikkerhetsforsker
- APT41: Feilsøker exploit-kode og forklarer open source-verktøy
Iran: Phishing-personas
APT42 bruker Gemini til å:
- Skape overbevisende phishing-personas
- Utvikle Python-basert Google Maps-scraper
- Forske på WinRAR-sårbarhet (CVE-2025-8088)
100.000 forsøk på å klone Gemini
Google oppdaget også et «model extraction»-angrep der Gemini ble bombardert med over 100.000 spørringer for å bygge en kopi av modellen.
AI-generert malware
Google fant malware kalt HONESTCUE som bruker Geminis API til å generere C#-kode i sanntid — kompilert og kjørt direkte i minnet uten spor på disk.
De oppdaget også COINBAIT, et AI-generert phishing-kit bygget med Lovable AI som utgir seg for å være en kryptobørs.
Googles respons
«Gemini blir bedre på å gjenkjenne persona-baserte triks og svare trygt. Når vi observerer ny trusselaktivitet, jobber vi for å styrke disse beskyttelsene.» — Steve Miller, AI Threat Lead, Google