OpenAI dit qu’il a empêché plusieurs groupes de piratage nord-coréens d’utiliser sa plate-forme ChatGPT pour rechercher de futures cibles et trouver des moyens de pirater leurs réseaux.
« Nous avons interdit les comptes démontrant une activité potentiellement associée à des acteurs de la menace affiliés à la République populaire démocratique de Corée (RPDC) publiquement signalés », a déclaré la société dans son rapport de renseignements sur les menaces de février 2025.
« Certains de ces comptes se livraient à des activités impliquant des TTP compatibles avec un groupe de menaces connu sous le nom de VELVET CHOLLIMA (ALIAS Kimsuky, Grésil émeraude), tandis que d’autres comptes étaient potentiellement liés à un acteur qui a été évalué par une source crédible comme étant lié à STARDUST CHOLLIMA (ALIAS APT38, Grésil saphir). »
Les comptes désormais interdits ont été détectés à l’aide des informations d’un partenaire de l’industrie. En plus de rechercher les outils à utiliser lors de cyberattaques, les acteurs de la menace ont utilisé ChatGPT pour trouver des informations sur des sujets liés à la crypto-monnaie, qui sont des intérêts communs liés aux groupes de menaces parrainés par l’État nord-coréen.
Les acteurs malveillants ont également utilisé ChatGPT pour l’assistance au codage, y compris l’aide sur l’utilisation des outils d’administration à distance open source (RAT), ainsi que le débogage, la recherche et l’aide au développement pour les outils de sécurité open source et accessibles au public et le code qui pourrait être utilisé dans Protocole de bureau à distance (RDP) attaques par force brute.
Les analystes des menaces OpenAI ont également constaté que les acteurs nord-coréens avaient révélé des URL de mise en scène pour des binaires malveillants inconnus des fournisseurs de sécurité à l’époque lors du débogage des emplacements des points d’extensibilité de démarrage automatique (ASEP) et des techniques d’attaque macOS.
Ces URL de transfert et les fichiers exécutables compilés associés ont été soumis à un service d’analyse en ligne pour faciliter le partage avec la communauté de la sécurité au sens large. En conséquence, certains fournisseurs détectent désormais de manière fiable ces binaires, protégeant ainsi les victimes potentielles des futures attaques.
D’autres activités malveillantes découvertes par OpenAI lors de recherches sur les manières dont les acteurs de la menace nord-coréens ont utilisé les comptes interdits incluent, sans toutefois s’y limiter:
- Poser des questions sur les vulnérabilités dans diverses applications,
- Développer et dépanner un client RDP basé sur C#pour activer,
- Demande de code pour contourner les avertissements de sécurité pour RDP non autorisé,
- Demandé de nombreux scripts PowerShell pour les connexions RDP, le téléchargement / téléchargement de fichiers, l’exécution de code à partir de la mémoire et l’obscurcissement du contenu HTML,
- Discute de la création et du déploiement de charges utiles obscurcies pour l’exécution,
- Recherche de méthodes pour effectuer du phishing ciblé et de l’ingénierie sociale contre les investisseurs et les traders de crypto-monnaie, ainsi que du contenu de phishing plus générique,
- Création d’e-mails et de notifications de phishing pour manipuler les utilisateurs afin qu’ils révèlent des informations sensibles.
La société a également interdit les comptes liés à un programme potentiel de travailleurs informatiques nord-Coréens, décrit comme ayant toutes les caractéristiques des efforts pour obtenir des revenus pour le régime de Pyongyang en incitant les entreprises occidentales à embaucher des Nord-Coréens.
« Après avoir semblé trouver un emploi, ils ont utilisé nos modèles pour effectuer des tâches liées au travail telles que l’écriture de code, le dépannage et la messagerie avec des collègues », a expliqué OpenAI. « Ils ont également utilisé nos modèles pour concevoir des histoires de couverture pour expliquer des comportements inhabituels tels que l’évitement des appels vidéo, l’accès aux systèmes de l’entreprise depuis des pays non autorisés ou des horaires de travail irréguliers. »
Depuis octobre 2024, date à laquelle il a publié son précédent rapport, OpenAI a également détecté et perturbé deux campagnes originaires de Chine, « Peer Review » et « Sponsored Discontent. »Ces campagnes ont utilisé les modèles ChatGPT pour rechercher et développer des outils liés à une opération de surveillance et générer des articles antiaméricains en espagnol.
Dans le rapport d’octobre, OpenAI a révélé que depuis le début de 2024, il avait perturbé plus de vingt campagnes liées à des cyberopérations et à des opérations d’influence secrètes associées à des pirates informatiques parrainés par l’État iranien et chinois.