Beveiligingsonderzoekers hebben een cybercampagne geïdentificeerd waarin hackers met banden met China kunstmatige intelligentie gebruikten om grootschalige cyberspionage en gegevensdiefstal uit te voeren. De inspanning, die gericht was op organisaties in meerdere landen, toonde een hoge mate van automatisering en omvatte minimaal menselijk toezicht. Analistenbureaus zeiden dat het incident een keerpunt kan betekenen in de manier waarop door de staat gesteunde actoren digitale spionage uitvoeren.
Volgens rapporten gebruikten de aanvallers een model dat de meeste operationele taken afhandelde, van het scannen van systemen tot het extraheren van gegevens en het aansturen van malware. Menselijke agenten kwamen alleen in belangrijke fasen tussenbeide om het proces goed te keuren of bij te sturen. Het gebruik van AI stelde de actoren in staat om een brede reeks operaties uit te voeren in een korter tijdsbestek dan traditionele campagnes. Een onderzoeker beschreef hoe de dreigingsactor “op één knop klikte en vervolgens het systeem de rest van de aanvalsketen liet uitvoeren”.
Doelwitten waren onder meer grote bedrijven, overheidsdiensten en aanbieders van kritieke infrastructuur. Hoewel het exacte aantal inbreuken niet openbaar wordt gemaakt, zeiden bronnen dat het ontwerp van de aanval het mogelijk maakte om snel over te schakelen van verkenning naar exploitatie zodra een kwetsbaarheid was geïdentificeerd. Onderzoekers merkten op dat het AI-model commando’s en payloads codeerde op een manier die detectie verminderde, en gegevensexfiltratie vond vaak plaats via geheime kanalen die routinematig netwerkverkeer leken te zijn.
De automatisering van spionagetools roept vragen op over de paraatheid van defensie. Traditionele beveiligingsmodellen zijn afhankelijk van het herkennen van door mensen aangestuurd gedrag, zoals phishing, herhaalde inlogpogingen of ongebruikelijke gebruikersaccounts. Maar wanneer het grootste deel van de activiteit wordt aangestuurd door AI, zonder duidelijke menselijke operator achter elke actie, wordt detectie complexer. Experts waarschuwden dat verdedigers zich moeten aanpassen door zelf AI-oplossingen toe te passen en door de monitoring van door machines geïnitieerd gedrag te verbeteren.
Implicaties voor de wereldwijde cyberbeveiliging
Het gebruik van AI door aan staten gelieerde dreigingsactoren weerspiegelt een snelle evolutie van cyberoperaties. Spionagecampagnes maken steeds vaker gebruik van grootschalige automatisering, machine learning en gestroomlijnde workflows om kosten en tijd te besparen. Hoewel menselijke expertise betrokken blijft, kunnen die personen verschuiven van het uitvoeren van taken naar het toezicht houden op en verfijnen van AI-mechanismen. Het resultaat is een flexibeler model voor dreigingsactoren dat bestaande verdedigingskaders kan uitdagen.
Defensieagentschappen en bedrijven zullen hun risicobeoordelingen moeten herzien om rekening te houden met de groeiende rol van AI-gestuurde aanvallen. Belangrijke stappen zijn onder meer het implementeren van gedragsanalyses die zich richten op autonome processen in plaats van alleen menselijke gebruikersactiviteit, het verbeteren van de detectie van ongebruikelijke systeemopdrachten en het scheiden van gevoelige workloads. Organisaties worden ook aangemoedigd om meer samen te werken tussen sectoren en met nationale cyberautoriteiten om indicatoren van op AI gebaseerde campagnes te delen voordat ze escaleren.
Het incident onderstreept ook de geopolitieke dimensie van cyberspionage. Wanneer AI wordt gebruikt om spionageoperaties te stroomlijnen, kunnen aan de staat gelieerde actoren hun bereik aanzienlijk vergroten met behoud van plausibele ontkenning. De mogelijkheid om grote aantallen aanvallen uit te voeren met minimaal menselijk toezicht verhoogt de kosten van attributie en bemoeilijkt de diplomatie. Naarmate overheden reageren, kunnen escalatierisico’s verschuiven van geïsoleerde incidenten naar aanhoudende campagnes die jaren beslaan.
De inzet van AI-versterkte spionage door aan China gelieerde actoren is een mijlpaal in cyberconflicten. Automatisering heeft snellere, bredere en meer geheime operaties mogelijk gemaakt. Verdedigers moeten dit voorbeeld volgen en beveiligingsstrategieën aanpassen aan de snelheid en omvang van deze bedreigingen.