Google: Hacker Negara Gunakan Gemini AI di Semua Tahap Serangan Siber
Google mengungkap bahwa sejumlah kelompok peretas yang didukung negara kini memanfaatkan model AI Gemini untuk mendukung seluruh tahapan serangan siber, mulai dari pengintaian hingga aktivitas pasca-kompromi.
Dalam laporan terbaru, Google Threat Intelligence Group (GTIG) menyebut aktor dari Tiongkok (APT31, Temp.HEX), Iran (APT42), Korea Utara (UNC2970), dan Rusia menggunakan Gemini untuk profiling target, pengumpulan open-source intelligence (OSINT), pembuatan umpan phishing, penerjemahan, penulisan kode, pengujian kerentanan, hingga troubleshooting.
AI untuk Recon hingga C2
Menurut GTIG, kelompok APT menggunakan Gemini untuk mendukung kampanye mereka โdari tahap reconnaissance dan pembuatan lure phishing hingga pengembangan command-and-control (C2) dan eksfiltrasi data.โ
Aktor berbasis Tiongkok dilaporkan menggunakan persona pakar keamanan siber untuk meminta Gemini mengotomatisasi analisis kerentanan serta menyusun rencana pengujian terarah dalam skenario yang direkayasa.
Dalam salah satu kasus, model diminta menganalisis teknik Remote Code Execution (RCE), bypass Web Application Firewall (WAF), dan hasil uji SQL injection terhadap target berbasis di AS.
Aktor lain dari Tiongkok juga memanfaatkan Gemini untuk memperbaiki kode, melakukan riset teknis, serta memberikan saran terkait kemampuan intrusi.
APT42 dan Percepatan Pengembangan Malware
Kelompok Iran APT42 memanfaatkan model bahasa besar (LLM) Google sebagai platform pengembangan guna mempercepat pembuatan tool berbahaya yang dipersonalisasi, termasuk debugging, generasi kode, dan riset teknik eksploitasi.
Penyalahgunaan AI juga terdeteksi dalam pengembangan fitur baru pada malware yang sudah ada, seperti kit phishing CoinBait dan downloader HonestCue.
Google mencatat bahwa meskipun belum ada terobosan besar dalam kecanggihan teknis, tren integrasi AI dalam toolset malware diperkirakan akan terus meningkat.
HonestCue dan CoinBait
HonestCue merupakan framework malware proof-of-concept yang terdeteksi pada akhir 2025. Framework ini menggunakan API Gemini untuk menghasilkan kode C# tahap kedua, kemudian mengompilasi dan mengeksekusi payload sepenuhnya di memori.
Sementara itu, CoinBait adalah kit phishing berbasis React yang menyamar sebagai platform pertukaran kripto. Artefak dalam kode sumber menunjukkan penggunaan tool generasi kode berbasis AI selama pengembangannya.
Peneliti juga menemukan indikator penggunaan LLM melalui pesan log dalam kode malware yang diawali dengan โAnalytics:โ, yang berpotensi membantu pelacakan eksfiltrasi data.
Kampanye ClickFix Berbasis AI
AI generatif juga digunakan dalam kampanye ClickFix untuk mendistribusikan malware infostealer AMOS di macOS. Korban diarahkan melalui iklan berbahaya di hasil pencarian yang menyamar sebagai panduan troubleshooting, lalu diminta menjalankan perintah berbahaya.
Pendekatan ini menunjukkan bagaimana AI membantu memperhalus rekayasa sosial dan meningkatkan efektivitas distribusi malware.
Upaya Ekstraksi Model AI
Selain penyalahgunaan langsung, Google juga mengidentifikasi upaya ekstraksi dan distilasi model terhadap Gemini.
Dalam skenario ini, aktor dengan akses API resmi mengirim ribuan prompt terstruktur untuk mereplikasi proses pengambilan keputusan model, lalu menggunakan teknik โknowledge distillationโ untuk melatih model AI baru dengan biaya lebih rendah.
Dalam satu serangan berskala besar, Gemini menerima sekitar 100.000 prompt yang dirancang untuk mereplikasi pola penalarannya dalam berbagai bahasa non-Inggris.
Google menilai praktik ini sebagai ancaman terhadap model bisnis AI-as-a-service karena berpotensi menjadi bentuk pencurian kekayaan intelektual yang skalabel.
Respons Google
Google menyatakan telah menonaktifkan akun dan infrastruktur yang terlibat dalam penyalahgunaan yang teridentifikasi. Perusahaan juga memperkuat sistem klasifikasi Gemini untuk mempersulit eksploitasi serupa di masa depan.
Google menegaskan bahwa sistem AI-nya dirancang dengan pengamanan dan guardrail keselamatan yang kuat serta terus diuji untuk meningkatkan keamanan dan ketahanan terhadap penyalahgunaan.
Laporan ini menyoroti bahwa AI generatif kini tidak hanya menjadi alat produktivitas, tetapi juga bagian dari lanskap ancaman modern yang terus berkembang.
