עידן חדש ומפחיד של סייבר יוצא לדרך, קבוצת מודיעין האיומים של גוגל (GTIG) חושפת כי תוקפים החלו לנצל את ה-API של מודל הבינה המלאכותית Gemini כדי ליצור קוד זדוני בזמן אמת.
המהלך המתוחכם מאפשר להאקרים לעקוף את מערכות ההגנה המסורתיות על ידי יצירת קוד "דינמי" שמשתנה בכל פעם מחדש, מה שהופך את הזיהוי מבוסס החתימות לכמעט בלתי אפשרי.
מסגרת ה-HONESTCUE
הדוח של גוגל מפברואר 2026 מתמקד במסגרת תקיפה חדשה בשם HONESTCUE. בניגוד לווירוסים רגילים שמגיעים עם קוד מוכן מראש, ה-HONESTCUE פועל כ"מתווך", הוא שולח פקודות (Prompts) ל-Gemini, מקבל חזרה קוד בשפת C# שנכתב על ידי ה-AI, ומריץ אותו ישירות בתוך הזיכרון של המחשב הקורבן.
התהליך כולו מתבצע ללא כתיבת קבצים לדיסק הקשיח (Fileless), מה שמונע מתוכנות אנטי-וירוס רגילות לסרוק את הקוד ולחסום אותו. המטרה של שלב זה היא להוריד את המטען הזדוני הסופי (Payload) משרתים חיצוניים, כמו רשת ה-CDN של דיסקורד, ולהשתלט על המחשב.
האקרים מכל העולם על הכוונת – מאיראן ועד צפון קוריאה
גוגל זיהתה כי השימוש ב-Gemini אינו מוגבל לקבוצה אחת. ארגוני APT (Advanced Persistent Threat) ממדינות כמו צפון קוריאה, איראן, סין ורוסיה כבר משלבים את הבינה המלאכותית בשלבים שונים של המתקפות שלהם:
- איסוף מודיעין ופישינג: יצירת הודעות הטעיה אמינות ומותאמות אישית.
- מחקר חולשות: שימוש במודל כדי למצוא פרצות אבטחה בשרתים ובתוכנות (RCE ו-WAF bypass).
- כתיבת סקריפטים: האצה משמעותית של פיתוח כלי פריצה מותאמים אישית.
האם ה-AI יכול להגן על עצמו?
התוקפים מנצלים את העובדה שהבקשות שהם שולחים ל-Gemini נראות לעיתים תמימות לחלוטין מחוץ להקשר. בקשה כמו "כתוב לי פונקציה שמורידה קובץ מקישור" היא פעולה לגיטימית עבור מתכנת, אך קריטית עבור האקר שמנסה להפיץ נוזקה.
בתגובה, גוגל החלה להקשיח את המודלים שלה ולהטמיע מסננים בזמן אמת שמזהים דפוסי שימוש זדוניים. החברה כבר השביתה חשבונות של תוקפים שזוהו במערכת, אך היא מזהירה כי על צוותי האבטחה בארגונים לעקוב אחרי תעבורת API חריגה ולוודא שמערכות ההגנה שלהם מסוגלות לנטר פעולות שמתבצעות ישירות בזיכרון ה-RAM.
