A OpenAI disse na sexta-feira que baniu um conjunto de contas vinculadas ao que disse ser uma operação secreta de influência iraniana que utilizou o ChatGPT para gerar conteúdo que, entre outras coisas, focava na próxima eleição presidencial dos EUA.
“Esta semana, identificamos e removemos um grupo de contas do ChatGPT que estavam gerando conteúdo para uma operação secreta de influência iraniana identificada como Storm-2035”, disse a OpenAI.
“A operação usou o ChatGPT para gerar conteúdo focado em uma série de tópicos — incluindo comentários sobre candidatos de ambos os lados na eleição presidencial dos EUA — que depois foi compartilhado por meio de contas de mídia social e websites.”
A empresa de inteligência synthetic (IA) disse que o conteúdo não obteve nenhum engajamento significativo, com a maioria das postagens de mídia social recebendo curtidas, compartilhamentos e comentários insignificantes ou inexistentes. Ela ainda observou que encontrou pouca evidência de que os artigos longos criados usando o ChatGPT foram compartilhados em plataformas de mídia social.
Os artigos abordavam a política dos EUA e eventos globais e foram publicados em cinco websites diferentes que se apresentavam como veículos de notícias progressistas e conservadores, indicando uma tentativa de atingir pessoas em lados opostos do espectro político.
A OpenAI disse que sua ferramenta ChatGPT foi usada para criar comentários em inglês e espanhol, que foram então postados em uma dúzia de contas no X e uma no Instagram. Alguns desses comentários foram gerados pedindo a seus modelos de IA para reescrever comentários postados por outros usuários de mídia social.
“A operação gerou conteúdo sobre vários tópicos: principalmente, o conflito em Gaza, a presença de Israel nos Jogos Olímpicos e a eleição presidencial dos EUA — e, em menor grau, política na Venezuela, os direitos das comunidades latinas nos EUA (tanto em espanhol quanto em inglês) e a independência da Escócia”, disse a OpenAI.
“Eles intercalavam seu conteúdo político com comentários sobre moda e beleza, possivelmente para parecerem mais autênticos ou numa tentativa de conquistar seguidores.”
Storm-2035 também foi um dos grupos de atividades de ameaças destacados na semana passada pela Microsoft, que o descreveu como uma rede iraniana “envolvendo ativamente grupos de eleitores dos EUA em extremos opostos do espectro político com mensagens polarizadas sobre questões como os candidatos presidenciais dos EUA, os direitos LGBTQ e o conflito Israel-Hamas”.
Alguns dos websites falsos de notícias e comentários criados pelo grupo incluem EvenPolitics, Nio Thinker, Savannah Time, Teorator e Westland Solar. Esses websites também foram observados utilizando serviços habilitados para IA para plagiar uma fração de seu conteúdo de publicações dos EUA. Dizem que o grupo está operacional a partir de 2020.
A Microsoft alertou ainda sobre um aumento na atividade de influência maligna estrangeira visando as eleições dos EUA nos últimos seis meses, tanto de redes iranianas quanto russas, sendo que estas últimas foram rastreadas até grupos rastreados como Ruza Flood (também conhecido como Doppelganger), Storm-1516 e Storm-1841 (também conhecido como Rybar).
“O Doppelganger espalha e amplifica informações fabricadas, falsas ou mesmo legítimas em redes sociais”, disse a empresa francesa de segurança cibernética HarfangLab. “Para fazer isso, as contas de redes sociais postam hyperlinks que iniciam uma cadeia ofuscada de redirecionamentos que levam a websites de conteúdo remaining.”
No entanto, há indícios de que a rede de propaganda está mudando suas táticas em resposta à aplicação agressiva da lei, usando cada vez mais postagens e anúncios não políticos e imitando veículos de notícias não políticos e de entretenimento, como Cosmopolitan, The New Yorker e Leisure Weekly, em uma tentativa de evitar a detecção, segundo a Meta.
As postagens contêm hyperlinks que, quando tocados, redirecionam os usuários para um artigo relacionado à guerra ou geopolítica da Rússia em um dos domínios falsificados imitando publicações de entretenimento ou saúde. Os anúncios são criados usando contas comprometidas.
A empresa de mídia social, que interrompeu 39 operações de influência da Rússia, 30 do Irã e 11 da China desde 2017 em suas plataformas, disse que descobriu seis novas redes da Rússia (4), Vietnã (1) e EUA (1) no segundo trimestre de 2024.
“Desde maio, a Doppelganger retomou suas tentativas de compartilhar hyperlinks para seus domínios, mas em uma taxa muito menor”, disse Meta. “Também os vimos experimentar vários saltos de redirecionamento, incluindo o serviço de encurtamento de hyperlinks da TinyURL para ocultar o destino remaining por trás dos hyperlinks e enganar tanto a Meta quanto nossos usuários em uma tentativa de evitar a detecção e levar as pessoas para seus websites fora da plataforma.”
O desenvolvimento ocorre depois que o Grupo de Análise de Ameaças (TAG) do Google também disse esta semana que detectou e interrompeu esforços de spear-phishing apoiados pelo Irã com o objetivo de comprometer contas pessoais de usuários importantes em Israel e nos EUA, incluindo aqueles associados às campanhas presidenciais dos EUA.
A atividade foi atribuída a um ator de ameaça com o codinome APT42, uma equipe de hackers patrocinada pelo estado e afiliada ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC). Sabe-se que ele compartilha sobreposições com outro conjunto de intrusão conhecido como Charming Kitten (também conhecido como Mint Sandstorm).
“O APT42 usa uma variedade de táticas diferentes como parte de suas campanhas de phishing por e-mail — incluindo hospedagem de malware, páginas de phishing e redirecionamentos maliciosos”, disse a gigante da tecnologia. “Eles geralmente tentam abusar de serviços como Google (ou seja, Websites, Drive, Gmail e outros), Dropbox, OneDrive e outros para esses propósitos.”
A estratégia geral é ganhar a confiança de seus alvos usando técnicas sofisticadas de engenharia social com o objetivo de tirá-los de seus e-mails e direcioná-los para canais de mensagens instantâneas como Sign, Telegram ou WhatsApp, antes de enviar hyperlinks falsos projetados para coletar suas informações de login.
Os ataques de phishing são caracterizados pelo uso de ferramentas como GCollection (também conhecido como LCollection ou YCollection) e DWP para coletar credenciais de usuários do Google, Hotmail e Yahoo, observou o Google, destacando o “forte conhecimento do APT42 sobre os provedores de e-mail que eles têm como alvo”.
“Quando o APT42 obtém acesso a uma conta, eles geralmente adicionam mecanismos adicionais de acesso, incluindo a alteração de endereços de e-mail de recuperação e o uso de recursos que permitem aplicativos que não oferecem suporte à autenticação multifator, como senhas específicas de aplicativos no Gmail e senhas de aplicativos de terceiros no Yahoo”, acrescentou.
