Wykrycie i blokada kont
Firma OpenAI poinformowała o zablokowaniu kont powiązanych z północnokoreańskimi grupami hakerskimi, które wykorzystywały ChatGPT do pozyskiwania informacji na temat przyszłych celów oraz rozwoju narzędzi wspierających ataki. W opublikowanym w lutym 2025 roku raporcie wywiadowczym dotyczącym zagrożeń firma wskazała, że działania te były związane z dobrze znanymi podmiotami cyberprzestępczymi.
"Zablokowaliśmy konta wykazujące aktywność potencjalnie związaną z publicznie znanymi podmiotami stanowiącymi zagrożenie powiązanymi z Koreańską Republiką Ludowo-Demokratyczną (KRLD)” – podała firma. Dotyczyło to m.in. grupy VELVET CHOLLIMA, znanej również jako Kimsuky lub Emerald Sleet, oraz STARDUST CHOLLIMA, określanej jako APT38 lub Sapphire Sleet. Te grupy, sponsorowane przez północnokoreański reżim, znane są z przeprowadzania zaawansowanych ataków na instytucje finansowe i sektory strategiczne.
Wykorzystanie ChatGPT w działaniach ofensywnych
Wykrycie złośliwej aktywności było możliwe dzięki współpracy z partnerem branżowym, który dostarczył informacji o nietypowym użytkowaniu platformy. Hakerzy korzystali z ChatGPT nie tylko do analizowania potencjalnych celów, ale także do zdobywania wiedzy na temat kryptowalut, co od dawna jest jednym z priorytetów grup powiązanych z KRLD. Narzędzie było wykorzystywane do kodowania, debugowania oraz rozwoju narzędzi administracyjnych, w tym rozwiązań typu RAT (Remote Administration Tool), a także do prowadzenia ataków siłowych na protokół RDP.
Analitycy OpenAI odkryli, że północnokoreańscy hakerzy podczas swoich operacji ujawniali tymczasowe adresy URL złośliwych plików binarnych. Były one przesyłane do usług skanowania online, co umożliwiło ich szybkie wykrycie i udostępnienie szerszej społeczności zajmującej się cyberbezpieczeństwem. W efekcie wielu dostawców zabezpieczeń wprowadziło mechanizmy pozwalające na skuteczniejsze blokowanie tych zagrożeń.
Co istotne, zidentyfikowano również aktywność polegającą na omijaniu zabezpieczeń protokołu RDP, rozwijaniu skryptów PowerShell do połączeń zdalnych oraz tworzeniu zaciemnionych ładunków do wykonywania złośliwego kodu. Hakerzy skupiali się także na metodach socjotechniki, w tym ukierunkowanym phishingu wymierzonym w inwestorów kryptowalutowych.
OpenAI zidentyfikowało również konta związane z procederem wykorzystywania północnokoreańskich pracowników IT, którzy, podszywając się pod specjalistów, zdobywali zatrudnienie w zachodnich firmach. "Po pozornym znalezieniu pracy użyli naszych modeli do wykonywania zadań związanych z pracą, takich jak pisanie kodu, rozwiązywanie problemów i wysyłanie wiadomości do współpracowników" – wyjaśnia firma. ChatGPT był również wykorzystywany do tworzenia wiarygodnych historii przykrywkowych, pozwalających na omijanie zabezpieczeń i unikanie podejrzeń.
Reakcja i przyszłe działania
Działania OpenAI nie ograniczyły się wyłącznie do grup północnokoreańskich. W październiku 2024 roku firma zablokowała dwie chińskie kampanie dezinformacyjne – "Peer Review" i "Sponsored Discontent". Miały one na celu generowanie antyamerykańskich treści w języku hiszpańskim oraz rozwój narzędzi związanych z operacjami nadzoru. W tym samym okresie udaremniono ponad dwadzieścia kampanii cybernetycznych i operacji wpływu, prowadzonych przez podmioty sponsorowane przez Iranu i Chin.
Działania te pokazują, że platformy oparte na sztucznej inteligencji, takie jak ChatGPT, stają się nie tylko narzędziem wsparcia dla użytkowników, ale także polem walki z cyberprzestępczością na poziomie państwowym. OpenAI zapewnia, że będzie kontynuować współpracę z partnerami branżowymi i organami ścigania, aby minimalizować ryzyko wykorzystywania ich technologii do celów niezgodnych z prawem.
