Wyobraź sobie scenariusz, w którym atakujący nie pisze złośliwego kodu sam. Zamiast tego jego malware wysyła zapytanie do komercyjnego modelu AI, otrzymuje w odpowiedzi gotowy kod w C#, kompiluje go w pamięci i uruchamia — bez zapisywania czegokolwiek na dysku. Żaden plik wykonywalny nie pojawia się w systemie plików. Żaden statyczny sygnaturowy skaner nie ma czego przeanalizować. Kod powstaje w momencie wykonania, dostosowany do kontekstu ataku.
To nie jest scenariusz z konferencji o przyszłości cyberbezpieczeństwa. To opis rodziny malware HONESTCUE, zidentyfikowanej przez Google Threat Intelligence Group (GTIG) we wrześniu 2025 roku. 12 lutego 2026 roku GTIG opublikował trzeci kwartalny raport o wykorzystaniu sztucznej inteligencji przez grupy zagrożeń — „Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use”. Raport potwierdza fundamentalną zmianę — AI przestało być narzędziem eksperymentalnym w arsenale atakujących. Stało się elementem codziennej infrastruktury operacyjnej grup powiązanych z czterema państwami: Chinami, Iranem, Koreą Północną i Rosją.
Czym jest raport GTIG AI Threat Tracker i dlaczego powinien zainteresować każdego CISO?
GTIG AI Threat Tracker to cykliczna publikacja Google Threat Intelligence Group — zespołu odpowiedzialnego za śledzenie zagrożeń państwowych i cyberprzestępczych w ekosystemie Google, w tym prób nadużywania modelu Gemini. Trzeci raport, opublikowany 12 lutego 2026 roku, obejmuje aktywność z czwartego kwartału 2025 roku i stanowi kontynuację wcześniejszego raportu „Adversarial Misuse of Generative AI” z 2025 roku.
Raport koncentruje się na trzech tematach, które dały mu tytuł. Destylacja (distillation) — ataki mające na celu ekstrakcję wiedzy i możliwości z komercyjnych modeli AI przez systematyczne odpytywanie. Eksperymentowanie (experimentation) — testowanie granic modeli AI przez grupy zagrożeń, w tym próby obchodzenia zabezpieczeń. Integracja (integration) — włączenie AI do operacyjnych łańcuchów ataku, od rekonesansu po rozwój malware.
Kluczowe stwierdzenie raportu brzmi: GTIG nie zaobserwował jeszcze, aby grupy APT lub operacje informacyjne osiągnęły przełomowe zdolności, które fundamentalnie zmieniłyby krajobraz zagrożeń. Jednocześnie raport dokumentuje, że AI staje się wbudowanym elementem codziennego przepływu pracy grup cyberszpiegowskich — analogicznie do tego, jak organizacje biznesowe włączyły ChatGPT i Copilot do swoich procesów. Atakujący robią dokładnie to samo, tylko po drugiej stronie barykady.
Dla CISO i zespołów bezpieczeństwa raport GTIG dostarcza konkretnych wskaźników tego, jak zmienia się profil zagrożeń. Nie chodzi o futurystyczne scenariusze — chodzi o udokumentowane operacje grup państwowych, które dziś wykorzystują AI do profilowania celów, generowania phishingu, debugowania exploitów i tworzenia malware z dynamicznie generowanym kodem.
📚 Przeczytaj kompletny przewodnik: AI Security: AI w cyberbezpieczeństwie - zagrożenia, obrona, przyszłość
Jak grupy państwowe wykorzystują sztuczną inteligencję w operacjach ofensywnych?
Raport GTIG dokumentuje aktywność grup powiązanych z czterema państwami — Chinami, Iranem, Koreą Północną i Rosją — oraz identyfikuje wzorce wykorzystania AI na każdym etapie łańcucha ataku. Każde z tych państw ma odmienny profil użycia, ale wspólnym mianownikiem jest traktowanie AI jako narzędzia zwiększającego produktywność operacyjną.
Rekonesans i profilowanie celów — grupy wykorzystują Gemini do zbierania informacji wywiadowczych z otwartych źródeł (OSINT), profilowania osób na stanowiskach decyzyjnych, mapowania struktur organizacyjnych firm i identyfikowania adresów e-mail. Północnokoreańska UNC2970 (powiązana z Lazarus Group) szukała informacji o firmach z sektora obronnego i cyberbezpieczeństwa, mapowała konkretne role techniczne i zbierała dane o wynagrodzeniach — żeby budować wiarygodne persony do phishingu rekrutacyjnego.
Socjotechnika i phishing — irańska APT42 (znana również jako Charming Kitten, Mint Sandstorm) używa AI do tworzenia person socjotechnicznych. Jak opisuje GTIG: grupa podaje modelowi biografię celu i prosi o stworzenie persony lub scenariusza, który skłoni tę osobę do interakcji. AI generuje również treść wiadomości phishingowych w wielu językach i pomaga w rozumieniu lokalnych fraz i odniesień kulturowych.
Rozwój narzędzi i malware — chińska APT41 wykorzystuje Gemini do debugowania kodu exploitów, tłumaczenia skryptów między językami programowania i rozwiązywania problemów z narzędziami ofensywnymi. Inna chińska grupa, UNC795, rozwijała z pomocą AI web shelle i skanery serwerów PHP.
Analiza podatności — chińska APT31 (Judgement Panda) zastosowała systematyczne podejście, podając Gemini personę eksperta cyberbezpieczeństwa, aby automatyzować analizę podatności i generować plany testowania. Grupa integrowała AI z Hexstrike — narzędziem red team opartym na Model Context Protocol (MCP), które orkiestruje ponad 150 narzędzi bezpieczeństwa, w tym skanery sieciowe i narzędzia penetracyjne.
Operacje informacyjne — grupy z Chin, Iranu, Rosji i Arabii Saudyjskiej wykorzystują AI do generowania propagandy, satyry politycznej i treści dezinformacyjnych. Ten wymiar jest mniej techniczny, ale strategicznie równie istotny.
Fiszka: AI w łańcuchu ataku — kto i jak — Iran (APT42): persony socjotechniczne, tłumaczenie phishingu, scraping danych — Chiny (APT31, APT41, UNC795): analiza podatności, debugowanie exploitów, web shelle, agentic AI — Korea Płn. (UNC2970): profilowanie celów, phishing rekrutacyjny, OSINT — Rosja: operacje informacyjne, propaganda generowana przez AI
Czym są ataki destylacji modeli AI i dlaczego stanowią zagrożenie dla własności intelektualnej?
Destylacja modelu AI (model distillation, model extraction) to technika, w której atakujący próbuje odtworzyć lub przybliżyć możliwości komercyjnego modelu AI bez bezpośredniego dostępu do jego wag, architektury czy danych treningowych. Mechanizm polega na systematycznym odpytywaniu modelu dużą liczbą starannie skonstruowanych zapytań, analizowaniu odpowiedzi i wykorzystaniu tych par zapytanie-odpowiedź jako danych treningowych dla modelu zastępczego.
Raport GTIG wskazuje, że ataki destylacji na model Gemini nabrały znaczącej skali. Google i DeepMind zidentyfikowali kampanie ekstrakcji obejmujące ponad 100 000 promptów kierowanych do Gemini w celu wydobycia wiedzy o jego zachowaniu, wzorcach odpowiedzi i wewnętrznej logice. Jak ujęła to badaczka bezpieczeństwa Farida Shafik: „Zachowanie jest modelem. Każda para zapytanie-odpowiedź to przykład treningowy dla repliki.”
Skala zagrożenia jest realna. Badacze z firmy Praetorian przeprowadzili proof-of-concept ataku ekstrakcji, który osiągnął 80,1% dokładności odwzorowania możliwości modelu przy zaledwie 1000 zapytaniach API w 20 epokach treningowych. To oznacza, że stosunkowo niewielkim nakładem obliczeniowym atakujący może stworzyć funkcjonalną replikę komercyjnego modelu — bez ponoszenia kosztów rozwoju, infrastruktury treningowej i zbierania danych.
Dla organizacji AI destylacja to zagrożenie dla własności intelektualnej — inwestycje rzędu miliardów dolarów w trening modelu mogą zostać przybliżone za ułamek tej kwoty. Dla organizacji korzystających z AI destylacja ma inny wymiar — atakujący, który posiada replikę modelu, może testować na niej techniki obchodzenia zabezpieczeń bez ryzyka wykrycia przez dostawcę. Może identyfikować słabości modelu offline, a następnie wykorzystać je w jednym, precyzyjnym ataku na model produkcyjny.
Google zablokował zidentyfikowane kampanie ekstrakcji, ale sam fakt ich skali świadczy o tym, że destylacja stała się zorganizowaną działalnością — nie jednostkowym eksperymentem. GTIG podkreśla, że ta tendencja będzie się nasilać, ponieważ ekonomika destylacji jest korzystna dla atakującego — koszt odpytania modelu jest wielokrotnie niższy niż koszt jego wytrenowania od zera.
Warto zauważyć, że destylacja nie dotyczy wyłącznie modeli Google. Każda organizacja udostępniająca model AI przez API — czy to wewnętrznie, czy komercyjnie — jest potencjalnym celem. Dotyczy to również firm wdrażających finetuningowane modele dla klientów. Replika takiego modelu w rękach konkurenta lub atakującego oznacza utratę przewagi technologicznej, a w przypadku modeli przetwarzających dane wrażliwe — potencjalną rekonstrukcję informacji, na których model był trenowany.
W jaki sposób irańska APT42 wykorzystuje AI do socjotechniki?
APT42 (znana również jako GreenCharlie, Charming Kitten, Mint Sandstorm) to jedna z najbardziej aktywnych irańskich grup zagrożeń, specjalizująca się w operacjach socjotechnicznych wymierzonych w dyplomatów, dziennikarzy, naukowców i specjalistów cyberbezpieczeństwa. Raport GTIG dokumentuje, że APT42 włączyła AI jako stały element swojego procesu budowania pretekstów i person atakowych.
Metodologia APT42 opiera się na długoterminowym budowaniu zaufania. Grupa nie wysyła masowego phishingu — prowadzi precyzyjne operacje, w których przez tygodnie lub miesiące buduje relację z celem, zanim przejdzie do fazy kompromitacji. AI przyspiesza każdy etap tego procesu.
W fazie rekonesansu APT42 wykorzystuje Gemini do wyszukiwania oficjalnych adresów e-mail konkretnych instytucji i osób, zbierania informacji o potencjalnych partnerach biznesowych celu (żeby budować wiarygodny pretekst kontaktu) oraz mapowania relacji zawodowych celu. W fazie budowania persony grupa podaje modelowi AI biografię celu i prosi o wygenerowanie optymalnej persony lub scenariusza, który skłoni tę osobę do zaangażowania się w korespondencję. AI pomaga w tworzeniu wiadomości phishingowych w wielu językach — w tym w rozumieniu lokalnych idiomów i odniesień kulturowych, co jest kluczowe przy targetowaniu osób w krajach, których języka operatorzy APT42 nie znają biegle.
APT42 wykorzystuje AI również do celów technicznych. Raport GTIG dokumentuje, że grupa rozwijała z pomocą Gemini scraper Google Maps napisany w Pythonie, system zarządzania kartami SIM w Rust (prawdopodobnie do zarządzania infrastrukturą operacyjną) oraz prowadziła badania nad proof-of-concept exploita dla podatności WinRAR CVE-2025-8088.
Historyczne cele APT42 obejmują izraelskich dziennikarzy, specjalistów cyberbezpieczeństwa i profesorów informatyki. AI umożliwia grupie skalowanie operacji, które wcześniej wymagały dużego nakładu pracy manualnej — tworzenie wiarygodnych person, pisanie spersonalizowanych wiadomości w obcych językach i utrzymywanie wielu równoległych konwersacji z celami.
Konsekwencja dla europejskich organizacji jest bezpośrednia. APT42 historycznie targetowała osoby zaangażowane w negocjacje nuklearne, politykę bliskowschodnią i sektory technologiczne. AI radykalnie obniża koszt rozszerzenia operacji na nowe regiony i języki. Organizacja, której pracownicy komunikują się z partnerami zagranicznymi — a takich w Polsce jest coraz więcej, szczególnie w sektorach obronnym, energetycznym i technologicznym — powinna uwzględnić scenariusz spearphishingu opartego na AI-generated personach w swoim modelu zagrożeń.
Jak chińskie grupy APT budują autonomiczne narzędzia ofensywne z pomocą AI?
Chińskie grupy APT — według raportu GTIG — wyróżniają się najbardziej zróżnicowanym i zaawansowanym podejściem do integracji AI w operacjach ofensywnych. Raport dokumentuje aktywność co najmniej czterech odrębnych grup: APT31, APT41, UNC795 i Temp.HEX (Mustang Panda).
APT31 (Judgement Panda, Violet Typhoon, Zirconium) zastosowała podejście, które GTIG określa jako „wysoce ustrukturyzowane” — grupa promptowała Gemini z personą eksperta cyberbezpieczeństwa, aby automatyzować analizę podatności i generować ukierunkowane plany testowania. Co istotne, APT31 zintegrowała AI z Hexstrike — narzędziem red team opartym na Model Context Protocol (MCP), które orkiestruje ponad 150 narzędzi bezpieczeństwa, w tym skanery sieciowe, narzędzia rekonesansowe i narzędzia penetracyjne. To podejście agentowe — AI nie tylko odpowiada na pytania, ale koordynuje wykonanie wielu narzędzi w sekwencji. Celem były organizacje w Stanach Zjednoczonych. Testowane wektory obejmowały zdalne wykonanie kodu (RCE), techniki obejścia Web Application Firewall (WAF) i SQL injection.
APT41 wykorzystuje Gemini jako narzędzie codziennej produktywności — debugowanie kodu exploitów, ekstrakcja wyjaśnień z dokumentacji narzędzi open-source, tłumaczenie skryptów między językami programowania i rozwiązywanie problemów technicznych. GTIG odnotował, że operatorzy APT41 korzystali z Gemini do rozwiązywania problemów z kodem „przez wiele dni w tygodniu” — co sugeruje, że AI stało się stałym elementem ich warsztatu, nie jednorazowym eksperymentem.
UNC795 rozwijał z pomocą AI web shelle i skanery serwerów PHP — narzędzia wykorzystywane do utrzymywania persistencji po kompromitacji serwera webowego. Temp.HEX (Mustang Panda) wykorzystywał Gemini do kompilowania dossier na konkretne osoby, w tym cele w Pakistanie, oraz zbierania danych operacyjnych i strukturalnych o organizacjach separatystycznych w różnych krajach.
John Hultquist, główny analityk GTIG, ocenił: „Chińscy aktorzy w szczególności będą nadal budować podejścia agentowe (agentic approaches) dla skalowania cyberoperacji ofensywnych.” To kluczowe stwierdzenie — sugeruje, że chińskie grupy nie ograniczają się do używania AI jako narzędzia wspomagającego, ale zmierzają w kierunku półautonomicznych systemów ofensywnych, w których AI koordynuje wieloetapowe operacje z minimalną ingerencją operatora.
Google zablokował konta powiązane z kampanią APT31, ale odnotował, że grupa kontynuowała targetowanie podobnych ofiar w Pakistanie — co sugeruje szybką zdolność do odtwarzania infrastruktury operacyjnej.
Dlaczego Korea Północna jest najaktywniejszym państwowym użytkownikiem Gemini?
Raport GTIG wskazuje, że północnokoreańskie grupy APT okazały się najaktywniejszymi użytkownikami Gemini wśród wszystkich śledzonych aktorów państwowych. To obserwacja spójna z wcześniejszymi raportami i wynika ze specyficznego profilu operacyjnego KRLD — jedynego państwa, dla którego cyberoperacje stanowią bezpośrednie źródło finansowania reżimu.
UNC2970 — grupa powiązana z Lazarus Group (znana również jako Diamond Sleet, Hidden Cobra) — wykorzystywała Gemini do syntezy informacji wywiadowczych z otwartych źródeł i profilowania celów o wysokiej wartości. Grupa szukała informacji o dużych firmach z sektora cyberbezpieczeństwa i obronnego, mapowała konkretne role techniczne w tych firmach i zbierała dane o wynagrodzeniach. Celem było tworzenie wiarygodnych person rekruterów korporacyjnych — technika, w której operatorzy KRLD się specjalizują.
Inne północnokoreańskie klastry wykorzystywały Gemini do badań związanych z kryptowalutami — co jest spójne z udokumentowaną strategią KRLD, w której kradzież kryptowalut finansuje program nuklearny i rakietowy. Grupa UNC4899 (powiązana z AppleJeus) wykorzystywała AI do rozwoju narzędzi i ekstrakcji danych SQL.
Profil północnokoreańskiego wykorzystania AI jest wyjątkowy z jeszcze jednego powodu — KRLD prowadzi na dużą skalę operację infiltracji rynku pracy IT, w której tysiące północnokoreańskich informatyków pracuje zdalnie dla zachodnich firm pod fałszywą tożsamością. AI jest dla nich narzędziem do przechodzenia rozmów kwalifikacyjnych, generowania kodu, rozwiązywania zadań technicznych i utrzymywania wiarygodności jako „zwykli” programiści. Hultquist wskazuje, że Korea Północna i Iran najwcześniej zaadoptowały AI do celów socjotechnicznych, co jest zgodne z ich operacyjnym profilem — obie grupy tradycyjnie polegają na inżynierii społecznej bardziej niż na zaawansowanych exploitach technicznych.
Dla organizacji rekrutujących zdalnych specjalistów IT — co w polskim sektorze technologicznym stało się normą — raport GTIG jest ostrzeżeniem. Weryfikacja tożsamości kandydatów, analiza spójności ich historii zawodowej i monitoring zachowań po zatrudnieniu powinny być elementem procesu HR, nie tylko procedur bezpieczeństwa. FBI od 2024 roku regularnie ostrzega przed północnokoreańską infiltracją sektora IT, a AI czyni tę infiltrację skuteczniejszą i trudniejszą do wykrycia.
Czym jest HONESTCUE i jak malware wykorzystuje API modeli AI w czasie rzeczywistym?
HONESTCUE to rodzina malware zidentyfikowana przez GTIG we wrześniu 2025 roku, która reprezentuje jakościowo nowy model zagrożenia — złośliwe oprogramowanie, które w trakcie działania komunikuje się z API komercyjnego modelu AI, żeby dynamicznie generować kod drugiego etapu ataku.
Mechanizm działania HONESTCUE opiera się na architekturze downloader/launcher. Pierwszy etap — stosunkowo prosty komponent — wysyła specjalnie skonstruowane prompty do API Gemini. W odpowiedzi otrzymuje kod źródłowy w C#, który stanowi funkcjonalność drugiego etapu. Następnie, wykorzystując .NET CSharpCodeProvider, kompiluje otrzymany kod w pamięci i uruchamia go — bez zapisywania pliku wykonywalnego na dysku (fileless execution).
To podejście ma fundamentalne konsekwencje dla detekcji. Tradycyjne skanery antywirusowe opierają się na sygnaturach — hashach znanych złośliwych plików lub wzorcach bajtowych. Jeśli złośliwy kod jest generowany dynamicznie przez model AI w momencie wykonania, każde uruchomienie może produkować inny kod realizujący tę samą funkcję. Statyczna analiza komponentu pierwszego etapu ujawnia jedynie prompt i wywołanie API — nie sam payload. Analiza sieciowa widzi ruch HTTPS do legalnego API Gemini — co w wielu środowiskach nie jest anomalią.
GTIG nie powiązał jeszcze HONESTCUE z żadnym znanym klastrem zagrożeń. Na podstawie iteracyjnych zmian w próbkach i pojedynczego submittera na VirusTotal badacze oceniają, że za malware stoi pojedynczy aktor lub mała grupa. To jednak nie umniejsza znaczenia techniki — jeśli model ten okaże się skuteczny, zostanie zaadoptowany przez większe grupy.
Obok HONESTCUE raport GTIG identyfikuje COINBAIT — kit phishingowy zbudowany z pomocą platformy Lovable AI (narzędzie do tworzenia aplikacji webowych), podszywający się pod giełdę kryptowalutową. COINBAIT jest powiązany z finansowo motywowanym klastrem UNC5356 i służy do kradzieży danych uwierzytelniających. To przykład innego wzorca — AI nie jako komponent runtime malware, ale jako narzędzie do szybkiego budowania infrastruktury phishingowej.
Fiszka: HONESTCUE — malware nowej generacji — Wysyła prompty do API Gemini w trakcie wykonania — Otrzymuje kod C# jako odpowiedź i kompiluje go w pamięci (fileless) — Każde uruchomienie może generować inny kod — utrudnia detekcję sygnaturową — Ruch sieciowy wygląda jak legalne wywołanie API — utrudnia detekcję sieciową — Nie powiązany jeszcze z konkretnym klastrem zagrożeń
Jak AI zmienia ekonomię cyberataków?
Raport GTIG formułuje kluczowe stwierdzenie: AI funkcjonuje jako „czynnik wzmacniający w istniejących łańcuchach ataku” (reinforcing factor within existing attack chains), a nie jako nowa kategoria zagrożeń. To rozróżnienie jest ważne — AI nie tworzy fundamentalnie nowych technik ataku, ale dramatycznie obniża próg wejścia i zwiększa skalowalność technik tradycyjnych.
W wymiarze rekonesansu AI kompresuje tygodnie pracy analitycznej do godzin. APT42 może w ciągu minuty wygenerować profil celu, który wcześniej wymagał manualnego przeszukiwania dziesiątek źródeł. GTIG odnotowuje, że chińskie grupy wykorzystują AI „do przejścia od wstępnego rekonesansu do aktywnego targetowania w szybszym tempie i szerszej skali”.
W wymiarze socjotechniki AI eliminuje barierę językową. Grupa irańska może teraz generować wiarygodne wiadomości phishingowe w języku hebrajskim, angielskim, francuskim czy niemieckim — z idiomami i odniesieniami kulturowymi, które wcześniej wymagały natywnego mówcy. Dla organizacji oznacza to, że tradycyjne wskaźniki phishingu — błędy językowe, nienaturalna składnia — tracą wartość diagnostyczną.
W wymiarze rozwoju narzędzi AI działa jako stały asystent programistyczny. APT41 korzysta z Gemini do debugowania kodu przez wiele dni w tygodniu. UNC795 buduje web shelle z pomocą AI. APT31 integruje AI z frameworkiem orkiestracji 150+ narzędzi bezpieczeństwa. To nie jednorazowe eksperymenty — to stała praktyka operacyjna.
W wymiarze malware HONESTCUE demonstruje, że AI może stać się komponentem runtime — częścią samego łańcucha wykonania malware, nie tylko narzędziem jego tworzenia. Jeśli ten model się upowszechni, zmieni fundamentalnie ekonomię detekcji — obrońcy będą musieli analizować nie statyczne pliki, ale dynamiczne interakcje z API.
Steve Miller, szef ds. zagrożeń AI w GTIG, zaznaczył: „Gemini coraz lepiej rozpoznaje sztuczki oparte na personach i odpowiada bezpiecznie.” To potwierdza, że dostawcy AI aktywnie wzmacniają zabezpieczenia. Jednak wyścig zbrojeń trwa — a ekonomika faworyzuje atakującego, który potrzebuje znaleźć jedną lukę, podczas gdy obrońca musi zamknąć wszystkie.
Jest jeszcze jeden wymiar, na który warto zwrócić uwagę. AI obniża próg kompetencji potrzebny do przeprowadzenia zaawansowanego ataku. Grupa, która wcześniej nie miała zdolności do pisania exploitów, może teraz korzystać z AI jako asystenta programistycznego. Grupa bez natywnych mówców języka celu może generować perfekcyjny phishing. Grupa bez analityków OSINT może automatyzować profilowanie celów. To demokratyzacja zdolności ofensywnych — i to jest największe długoterminowe zagrożenie wynikające z raportu GTIG.
Jakie mechanizmy obronne są skuteczne wobec ataków wspomaganych AI?
Obrona przed zagrożeniami AI-augmented wymaga dostosowania istniejących praktyk bezpieczeństwa do nowego profilu zagrożeń. Raport GTIG nie formułuje wprost rekomendacji obronnych, ale wnioski operacyjne pozwalają zdefiniować konkretne kontrole.
Wzmocnienie detekcji behawioralnej zamiast sygnaturowej. HONESTCUE demonstruje, że malware z dynamicznie generowanym kodem omija detekcję sygnaturową. Organizacje muszą inwestować w EDR/XDR z detekcją behawioralną — monitorowanie sekwencji zdarzeń (proces wywołujący API → kompilacja w pamięci → wykonanie nowego kodu) zamiast porównywania hashy plików.
Monitoring ruchu do API modeli AI. Jeśli organizacja nie korzysta z API Gemini, Claude czy GPT w środowisku produkcyjnym, ruch do tych endpointów ze stacji roboczych powinien generować alert. Jeśli korzysta — monitoring powinien wykrywać anomalie w wolumenie, treści i źródle zapytań. Polityka firewallowa powinna definiować dozwolone endpointy AI i blokować pozostałe.
Zaawansowane szkolenia antyphishingowe uwzględniające AI-generated content. Tradycyjne szkolenia uczą rozpoznawania błędów językowych i nienaturalnej składni w phishingu. AI eliminuje te wskaźniki. Nowe programy szkoleniowe powinny koncentrować się na weryfikacji tożsamości nadawcy przez kanały pozaemailowe, kwestionowaniu nietypowych próśb niezależnie od jakości językowej wiadomości i budowaniu kultury „verify before trust”.
Ochrona tożsamości i uwierzytelniania. Raport GTIG wskazuje, że grupy APT wykorzystują AI do budowania wiarygodnych person. Organizacje powinny wzmocnić weryfikację tożsamości — wieloskładnikowe uwierzytelnianie (MFA) odporne na phishing (FIDO2/WebAuthn), weryfikacja nowych kontaktów przez drugi kanał komunikacji, procedury autoryzacji dla nietypowych żądań.
Monitoring Active Directory i infrastruktury. Chińskie grupy wykorzystują AI do debugowania exploitów i budowania web shelli. Kontrole takie jak monitoring zmian w systemie plików serwerów webowych (Web Shell detection), hardening konfiguracji serwera, regularne skanowanie podatności i segmentacja sieciowa ograniczają skuteczność nawet udoskonalonych narzędzi.
Ochrona własności intelektualnej AI. Organizacje rozwijające lub wdrażające modele AI powinny wdrożyć rate limiting, monitoring anomalii w zapytaniach (detekcja wzorców destylacji), watermarking odpowiedzi i polityki dostępu do API oparte na analizie ryzyka.
Jak wygląda model dojrzałości obrony przed zagrożeniami AI-augmented?
Zagrożenia wspomagane AI nie wymagają rewolucji w podejściu do bezpieczeństwa — wymagają ewolucji istniejących kontroli z uwzględnieniem nowego profilu atakującego. Poniższa tabela przedstawia model dojrzałości dostosowany do wniosków z raportu GTIG.
| Poziom dojrzałości | Obszar | Kontrola | Czas wdrożenia | Adresowane zagrożenie |
|---|---|---|---|---|
| 1 — Podstawowy | Endpoint | EDR/XDR z detekcją behawioralną (nie tylko sygnaturową) | 2–4 tygodnie | HONESTCUE, fileless malware |
| 1 — Podstawowy | Sieć | Polityka firewallowa: lista dozwolonych endpointów AI API | 1–3 dni | Malware wywołujące API AI |
| 1 — Podstawowy | Użytkownik | Szkolenie: weryfikacja tożsamości nadawcy przez drugi kanał | 1–2 tygodnie | APT42 spearphishing |
| 2 — Rozszerzony | Tożsamość | MFA odporne na phishing (FIDO2/WebAuthn) dla kont uprzywilejowanych | 1–3 miesiące | Credential theft, persony AI |
| 2 — Rozszerzony | SOC | Reguły korelacji: proces → API call → kompilacja w pamięci → wykonanie | 2–4 tygodnie | HONESTCUE, runtime AI malware |
| 2 — Rozszerzony | Sieć | Monitoring anomalii w ruchu do API AI (wolumen, wzorce, źródło) | 2–4 tygodnie | Destylacja modeli, malware-as-a-service |
| 3 — Zaawansowany | Web | Web Application Firewall + monitoring integralności plików serwera | 1–3 miesiące | Web shelle APT41/UNC795 |
| 3 — Zaawansowany | Threat Intel | Profilowanie grup APT z uwzględnieniem ich profilu AI usage | Ciągły | APT31 Hexstrike, APT42 persony |
| 3 — Zaawansowany | Red Team | Ćwiczenia red team z wykorzystaniem AI (adversary emulation) | Kwartalnie | Walidacja kontroli |
| 4 — Dojrzały | AI Security | Rate limiting, detekcja destylacji, watermarking dla własnych modeli AI | 3–6 miesięcy | Ataki ekstrakcji modeli |
| 4 — Dojrzały | SOC | Automated threat hunting z AI-assisted korelacją zdarzeń | 6–12 miesięcy | Pełne spektrum zagrożeń AI |
Podsumowanie
- AI jako codzienne narzędzie grup państwowych — raport GTIG z lutego 2026 potwierdza, że grupy powiązane z Chinami, Iranem, Koreą Północną i Rosją zintegrowały sztuczną inteligencję jako stały element operacji cyberszpiegowskich, od rekonesansu po rozwój malware.
- Destylacja modeli AI — zidentyfikowano kampanie ekstrakcji obejmujące ponad 100 000 promptów kierowanych do Gemini; proof-of-concept osiągnął 80,1% dokładności odwzorowania modelu przy zaledwie 1000 zapytaniach API.
- HONESTCUE — malware nowej generacji — rodzina malware, która w trakcie działania wysyła prompty do API Gemini, otrzymuje kod C# i kompiluje go w pamięci bez zapisywania na dysku, co omija detekcję sygnaturową.
- Irańska APT42 i AI-generated persony — grupa wykorzystuje AI do tworzenia wiarygodnych person socjotechnicznych, generowania spersonalizowanego phishingu w wielu językach i budowania wielotygodniowych relacji z celami.
- Chińskie grupy i podejście agentowe — APT31 zintegrowała AI z platformą Hexstrike (MCP), orkiestrując ponad 150 narzędzi bezpieczeństwa w półautonomiczny system ofensywny; APT41 używa Gemini do codziennego debugowania exploitów.
- Korea Północna — najaktywniejszy użytkownik Gemini — grupy KRLD wykorzystują AI do profilowania celów rekrutacyjnych, kradzieży kryptowalut i infiltracji zachodniego rynku pracy IT pod fałszywą tożsamością.
- Zmiana ekonomii ataków — AI nie tworzy fundamentalnie nowych technik, ale dramatycznie obniża próg wejścia i zwiększa skalowalność tradycyjnych metod, eliminując bariery językowe i kompresując tygodnie pracy analitycznej do godzin.
Jak nFlo wspiera organizacje w obronie przed zagrożeniami wspomaganymi AI?
Ewolucja zagrożeń dokumentowana przez GTIG wymaga adaptacji strategii bezpieczeństwa — od detekcji sygnaturowej w kierunku analizy behawioralnej, od statycznych reguł w kierunku dynamicznego monitoringu. nFlo wspiera klientów w tej transformacji na kilku poziomach.
W zakresie testów socjotechnicznych nFlo projektuje scenariusze odzwierciedlające realne techniki grup APT — w tym scenariusze z AI-generated phishingiem, wiarygodnymi personami rekruterów i wieloetapowym budowaniem zaufania. Weryfikujemy, czy pracownicy organizacji są w stanie rozpoznać spearphishing nowej generacji — pozbawiony błędów językowych, spersonalizowany i kontekstowo trafny.
Analiza architektury bezpieczeństwa prowadzona przez nFlo uwzględnia nowe wektory opisane w raporcie GTIG. Weryfikujemy konfigurację polityk firewallowych pod kątem ruchu do API modeli AI, skuteczność EDR w wykrywaniu fileless malware, monitoring integralności serwerów webowych (web shell detection) i procedury weryfikacji tożsamości w procesach biznesowych podatnych na socjotechnikę.
W ramach testów penetracyjnych nFlo wykorzystuje narzędzia i metodologie zbliżone do tych dokumentowanych przez GTIG — w tym orkiestrację narzędzi, automatyzację analizy podatności i testowanie zabezpieczeń aplikacji webowych. Dzięki temu organizacja otrzymuje realistyczną ocenę swojej odporności na zagrożenia AI-augmented.
nFlo wspiera również klientów w budowaniu programów security awareness nowej generacji — wykraczających poza tradycyjne szkolenia antyphishingowe. Programy uwzględniają scenariusze AI-generated content, deepfake i wieloetapowe ataki socjotechniczne budujące zaufanie przed fazą kompromitacji — dokładnie tak, jak opisuje to raport GTIG w kontekście APT42.
Najczęściej zadawane pytania
Czy grupy APT osiągnęły przełomowe zdolności dzięki AI?
Nie — raport GTIG jednoznacznie stwierdza, że nie zaobserwowano jeszcze, aby grupy APT lub operacje informacyjne osiągnęły przełomowe zdolności, które fundamentalnie zmieniłyby krajobraz zagrożeń. AI działa jako wzmacniacz produktywności — przyspiesza istniejące techniki, ale nie tworzy fundamentalnie nowych. To jednak nie oznacza, że zagrożenie jest niskie — zwiększona produktywność atakujących przekłada się na więcej ataków, szybsze operacje i trudniejszą detekcję.
Czy HONESTCUE może zaatakować moją organizację?
HONESTCUE nie został powiązany z konkretnym klastrem zagrożeń i wydaje się być dziełem pojedynczego aktora lub małej grupy. Jednak technika, którą reprezentuje — malware wywołujące API modeli AI w czasie rzeczywistym — może zostać zaadoptowana przez inne grupy. Organizacje powinny wdrożyć monitoring ruchu do API modeli AI i detekcję behawioralną fileless execution.
Czy blokowanie dostępu do API Gemini/ChatGPT chroni przed tymi zagrożeniami?
Częściowo. Blokowanie ruchu do znanych endpointów AI uniemożliwia malware typu HONESTCUE komunikację z API. Jednak atakujący mogą korzystać z self-hosted modeli open-source (LLaMA, Mistral) lub routować ruch przez proxy. Blokowanie API AI to ważna warstwa obrony, ale nie jedyna.
Jak rozpoznać phishing generowany przez AI?
Phishing AI-generated nie zawiera klasycznych wskaźników — błędów językowych, nienaturalnej składni, oczywistych niespójności. Najskuteczniejszą obroną jest weryfikacja tożsamości nadawcy przez kanał pozaemailowy (telefon, osobisty kontakt), kwestionowanie nietypowych próśb niezależnie od jakości wiadomości i stosowanie MFA odpornego na phishing (FIDO2).
Czym jest Hexstrike i dlaczego jest istotny?
Hexstrike to narzędzie red team oparte na Model Context Protocol (MCP), które orkiestruje ponad 150 narzędzi bezpieczeństwa — skanery sieciowe, narzędzia rekonesansowe i penetracyjne. APT31 zintegrowała Hexstrike z Gemini, tworząc półautonomiczny system ofensywny. To ważne, bo pokazuje kierunek ewolucji — od AI jako narzędzia wspomagającego do AI jako koordynatora wieloetapowych operacji.
Czy raport GTIG dotyczy tylko Gemini, czy wszystkich modeli AI?
Raport GTIG koncentruje się na nadużyciach modelu Gemini, ponieważ Google ma bezpośredni wgląd w swoje platformy. Jednak opisane techniki — destylacja, phishing wspomagany AI, dynamiczne generowanie kodu — dotyczą wszystkich komercyjnych modeli AI. OpenAI, Anthropic i inne firmy publikują własne raporty o nadużyciach. Problem jest branżowy, nie specyficzny dla jednego dostawcy.
Jak często Google publikuje raporty GTIG AI Threat Tracker?
Raporty ukazują się kwartalnie. Lutowy raport z 2026 roku jest trzecim w serii — po pierwszym raporcie „Adversarial Misuse of Generative AI” z 2025 roku i drugim z połowy 2025 roku. Każdy kolejny raport dokumentuje rosnącą integrację AI w operacjach grup zagrożeń.
