#mandiant — Public Fediverse posts

AI napisało exploita na zero-day. Google go złapało, bo… był zbyt „grzeczny”

Google Threat Intelligence Group (GITG) wspólnie z ekipą Mandiant poinformowało o wykryciu pierwszego w historii exploita typu zero-day, który został stworzony przy wyraźnym wsparciu modelu językowego (LLM).

Hakerzy użyli sztucznej inteligencji, by uderzyć w popularne narzędzie administracyjne typu open-source i ominąć uwierzytelnianie dwuskładnikowe (2FA).

Zbyt pilny uczeń zdradza hakera

To, co w tej sprawie jest najbardziej fascynujące, to fakt, że sztuczna inteligencja „wsypała” swoich twórców przez… nadmierną staranność. Eksperci Google’a zidentyfikowali udział AI w tworzeniu złośliwego kodu po kilku specyficznych cechach, które nie występują w „tradycyjnym” malwarze (w sensie: tym tworzonym przez ludzi). Co zdradziło autorstwo AI?

• Podręcznikowy styl: skrypt w Pythonie był napisany niezwykle czysto, niemal w sposób akademicki.
• Nadgorliwe komentarze: kod zawierał mnóstwo edukacyjnych opisów modułów, co jest typowe dla odpowiedzi generowanych przez chatboty, a zbędne dla hakerów.
• „Halucynacje” w kodzie: AI dodało do skryptu zmyślone punktacje CVSS (system oceny groźności luki), których hakerzy nigdy by tam nie umieścili.
• Estetyka ponad wszystko: skrypt zawierał rozbudowane menu pomocy i klasy kolorowania tekstu w konsoli (ANSI color), co sugeruje, że haker poprosił AI o „ładny i profesjonalny program”.

Chiny i Korea Północna na „promptach”

Raport Google’a rzuca też światło na to, jak państwowe grupy hakerskie „jailbreakują” modele AI, by służyły im do brudnej roboty.

Chińska grupa UNC2814 stosuje technikę „persony”: każą sztucznej inteligencji wcielić się w rolę „starszego audytora bezpieczeństwa”, co pozwala ominąć filtry blokujące generowanie złośliwego kodu. Z kolei koreańska grupa APT45 zalewa modele tysiącami powtarzalnych zapytań o analizę znanych podatności (CVE), traktując AI jako darmowego stażystę do żmudnej roboty przy wyszukiwaniu luk w zabezpieczeniach.

Co to oznacza dla nas?

Nie doczekaliśmy się jeszcze „Terminatora”, który sam wymyśla broń masowej zagłady, ale jesteśmy świadkami narodzin ery „Script Kiddie 2.0”. AI po prostu bardzo obniża próg wejścia w zaawansowaną cyberprzestępczość. Zamiast lat nauki pisania exploitów, wystarczy sprytny zestaw promptów i odrobina wiedzy, by „uzbroić” nową lukę w systemie.

Dobra wiadomość? Na razie AI pisze kod tak charakterystyczny, że systemy obronne (również oparte na AI) potrafią go wyłapać właśnie przez tę jego „podręcznikowość”. Pytanie brzmi: ile czasu hakerzy będą potrzebowali, by kazać chatbotom pisać kod w sposób „brudny i ludzki”?

Google Finanse z AI trafiają do Polski. Nowa wersja ma pomóc inwestorom w analizie rynku

Szpiegostwo na globalną skalę. Google rozbija chińską siatkę, która wykradała dane z polskich telekomów

Zespoły Google Threat Intelligence Group (GTIG) oraz Mandiant zneutralizowały potężną infrastrukturę szpiegowską grupy UNC2814, powiązanej z Chinami.

Hakerzy od lat atakowali sektor telekomunikacyjny i administrację publiczną w ponad 40 krajach, w tym w Polsce. Do wyciągania wrażliwych danych, takich jak treści SMS-ów czy numery PESEL, cyberprzestępcy wykorzystywali m.in… legalne Arkusze Google.

Wyniki najnowszego śledztwa analityków bezpieczeństwa rzucają światło na jedną z najbardziej rozległych kampanii szpiegowskich ostatnich lat. Grupa oznaczona kodem UNC2814, działająca aktywnie co najmniej od 2017 roku, stworzyła globalną sieć inwigilacji, której głównym celem byli dostawcy usług telekomunikacyjnych oraz instytucje rządowe.

Atakując operatorów, napastnicy zyskiwali strategiczny punkt dostępu do komunikacji i danych wielu podmiotów jednocześnie. Eksperci z GTIG potwierdzili aż 53 przypadki udanych włamań w 42 państwach, identyfikując przy tym potencjalne cele w ponad 20 kolejnych krajach. Na liście poszkodowanych znalazła się również Polska.

Polska na celowniku: PESEL i billingi w rękach hakerów

Choć w naszym regionie uwaga ekspertów ds. cyberbezpieczeństwa skupia się zazwyczaj na destrukcyjnych działaniach grup powiązanych z Rosją i Białorusią, raport Google udowadnia, że polska infrastruktura krytyczna jest na celowniku również innych mocarstw.

Z ustaleń śledczych wynika, że włamania UNC2814 nie miały na celu niszczenia infrastruktury (jak ma to miejsce w przypadku rosyjskich ataków typu „wiper”), lecz cichą, długofalową inwigilację. Hakerzy przejmowali m.in. bazy danych osobowych, wykazy połączeń, a nawet treści wiadomości SMS konkretnych osób. W wielu potwierdzonych przypadkach cyberprzestępcy polowali na niezwykle wrażliwe dane obywateli, w tym numery dowodów osobistych oraz numery PESEL.

„Obawy o bezpieczeństwo w Polsce słusznie koncentrują się na działaniach grup powiązanych z Rosją. Jednak aktywność UNC2814 pokazuje, że sektor telekomunikacyjny – fundament polskiej łączności i cyfrowej gospodarki – jest celem uporczywych działań o globalnym zasięgu. Grupy powiązane z Chinami stawiają na długofalowe działania, zaprojektowane tak, by przez lata pozostać w ukryciu i po cichu wykradać dane” – tłumaczy Jamie Collier, główny doradca na Europę w Google Threat Intelligence Group.

GRIDTIDE, czyli jak zhakować przez Arkusze Google

Kluczowym momentem w rozpracowaniu grupy było odkrycie pod koniec 2025 roku przez zespół Mandiant nowego narzędzia typu backdoor, nazwanego „GRIDTIDE”. Złośliwe oprogramowanie, napisane w języku C, służyło do utrzymywania stałego dostępu do zainfekowanych systemów.

Sposób działania GRIDTIDE idealnie obrazuje nowy, niebezpieczny trend w cyberprzestępczości – nadużywanie legalnych platform chmurowych (SaaS). Zamiast stawiać własne serwery kontroli (C2), które łatwo wykryć i zablokować, złośliwy kod łączył się z Arkuszami Google kontrolowanymi przez napastników. Dzięki temu transfer wykradanych danych idealnie wtapiał się w normalny, firmowy ruch sieciowy. Google wyraźnie zaznacza, że nie był to wynik luki w zabezpieczeniach usługi, lecz sprytne wykorzystanie jej prawidłowych, wbudowanych funkcji w celu uniknięcia detekcji przez systemy bezpieczeństwa.

Dekada budowy, natychmiastowy demontaż

Aby przeciąć operacje szpiegowskie UNC2814, Google przeprowadziło skoordynowaną akcję uderzeniową. Firma zamknęła wszystkie projekty w Google Cloud kontrolowane przez napastników, zablokowała powiązane konta oraz przejęła kontrolę nad ich domenami (technika tzw. sinkholingu), skutecznie odcinając złośliwy kod od zaatakowanych środowisk. Analitycy spodziewają się, że ruch ten zniweczy dekadę pracy hakerów nad budową ich globalnej sieci.

Wszystkie poszkodowane podmioty otrzymały już oficjalne powiadomienia, a eksperci Google aktywnie wspierają organizacje w łataniu luk. Jednocześnie GTIG podkreśla, że kampania UNC2814 to odrębna operacja i nie należy jej łączyć z głośnymi ostatnio atakami grupy „Salt Typhoon”, która również obrała sobie za cel sektor telekomunikacyjny.

Szerszy raport techniczny z operacji rozbicia infrastruktury GRIDTIDE został opublikowany na blogu Google Cloud.

Historyczny cyberatak: chińscy hakerzy użyli AI do autonomicznego włamania. Mamy raport Anthropic

In #cyber I dug into why and where particular naming conventions of threat actors originate.#UNC in particular. Mundane as it may be, TLDR:

#Mandiant assigns numbered acronyms in three categories, APT, FIN, and UNC, resulting in APT names like FIN7. Other companies using a similar system include Proofpoint (TA) and IBM (ITG and Hive).

Others do their own things too.

From: Advanced Persistent Threat (naming) https://en.wikipedia.org/wiki/Advanced_persistent_threat

Senator says #ATT , #Verizon blocking release of #SaltTyphoon #security assessment reports-Reuters

Dem Sen #Cantwell said Verizon & AT&T are blocking release of key docs about an alleged massive #Chinese #spying operation that infiltrated US #telecom networks known as Salt Typhoon & wants their CEOs to appear before Congress to answer questions

Cantwell asked both companies to turn over security assessments conducted by Alphabet #cybersecurity unit #Mandiant
#privacy

https://www.reuters.com/business/media-telecom/senator-says-att-verizon-blocking-release-salt-typhoon-security-assessment-2026-02-03/

ShinyHunters flip the script on MFA in new data theft attacks https://www.helpnetsecurity.com/2026/02/02/shinyhunters-mfa-social-engineering/ #Socialengineering #GoogleCloud #SilentPush #Don'tmiss #datatheft #extortion #Hotstuff #Mandiant #vishing #News #tips #SSO

#Windows :windows: -Netze: #Google :google: #Mandiant gibt Microsofts #NTLM den Todesstoß | Security https://www.heise.de/news/Windows-Netze-Google-Mandiant-gibt-Microsofts-NTLM-den-Todesstoss-11145487.html #Microsoft #GoogleMandiant

North Korean Hackers Use ‘EtherHiding’ to Spread Malicious Crypto Wallets, Mandiant Warns - TLDR:

DPRK hackers use EtherHiding to embed malicious scripts within blockchain smart co... - https://blockonomi.com/north-korean-hackers-use-etherhiding-to-spread-malicious-crypto-wallets-mandiant-warns/ #blockchainsecurity #binancesmartchain #wordpressattacks #cryptophishing #cryptowallets #cybersecurity #dprkhackers #etherhiding #security #mandiant #crime #apt43

F5 data breach: “Nation-state” attackers stole BIG-IP source code, vulnerability info https://www.helpnetsecurity.com/2025/10/15/f5-big-ip-data-breach/ #CrowdStrike #databreach #F5Networks #networking #sourcecode #Don'tmiss #datatheft #Hotstuff #IOActive #Mandiant #NCCGroup #News #NCSC

#Salesforce says it won’t pay #extortion demand in 1 billion records #breach

The threat group behind the campaign is calling itself #ScatteredLAPSUS$ Hunters, a mashup of three prolific data-extortion actors: #ScatteredSpider , #LAPSuS$ , and #ShinyHunters. #Mandiant, meanwhile, tracks the group as #UNC6040, because the researchers so far have been unable to positively identify the connections.
#privacy #security

https://arstechnica.com/security/2025/10/salesforce-says-it-wont-pay-extortion-demand-in-1-billion-records-breach/

Alert: a group claiming ties to Cl0p is sending extortion emails to Oracle E-Business Suite users. Mandiant and Google’s threat teams are investigating.

Read: https://hackread.com/cl0p-extort-oracle-e-business-customers/

#OracleEBS #Cybersecurity #Ransomware #Cl0p #Mandiant #Google

SonicWall adds rootkit removal capabilities to the SMA 100 series https://www.helpnetsecurity.com/2025/09/23/sonicwall-adds-rootkit-removal-capabilities-to-the-sma-100-series/ #securityupdate #ransomware #Don'tmiss #SonicWall #Hotstuff #firmware #Mandiant #rootkits #Google #News

Zero-Day in Sitecore Exploited to Deploy WEEPSTEEL Malware – Source:hackread.com https://ciso2ciso.com/zero-day-in-sitecore-exploited-to-deploy-weepsteel-malware-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #Vulnerability #CyberAttack #EARTHWORM #WEEPSTEEL #Hackread #Mandiant #security #Sitecore #malware #Google #0day

Zero-Day in Sitecore Exploited to Deploy WEEPSTEEL Malware – Source:hackread.com https://ciso2ciso.com/zero-day-in-sitecore-exploited-to-deploy-weepsteel-malware-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #Vulnerability #CyberAttack #EARTHWORM #WEEPSTEEL #Hackread #Mandiant #security #Sitecore #malware #Google #0day

Zero-Day in Sitecore Exploited to Deploy WEEPSTEEL Malware – Source:hackread.com https://ciso2ciso.com/zero-day-in-sitecore-exploited-to-deploy-weepsteel-malware-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #Vulnerability #CyberAttack #EARTHWORM #WEEPSTEEL #Hackread #Mandiant #security #Sitecore #malware #Google #0day

Zero-Day in Sitecore Exploited to Deploy WEEPSTEEL Malware – Source:hackread.com https://ciso2ciso.com/zero-day-in-sitecore-exploited-to-deploy-weepsteel-malware-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #Vulnerability #CyberAttack #EARTHWORM #WEEPSTEEL #Hackread #Mandiant #security #Sitecore #malware #Google #0day

Zero-Day in Sitecore Exploited to Deploy WEEPSTEEL Malware https://hackread.com/zero-day-sitecore-exploited-deploy-weepsteel-malware/ #Vulnerability #CyberAttack #EARTHWORM #WEEPSTEEL #Security #Mandiant #Sitecore #Malware #Google #0day

Zero-Day in Sitecore Exploited to Deploy WEEPSTEEL Malware https://hackread.com/zero-day-sitecore-exploited-deploy-weepsteel-malware/ #Vulnerability #CyberAttack #EARTHWORM #WEEPSTEEL #Security #Mandiant #Sitecore #Malware #Google #0day

Zero-Day in Sitecore Exploited to Deploy WEEPSTEEL Malware https://hackread.com/zero-day-sitecore-exploited-deploy-weepsteel-malware/ #Vulnerability #CyberAttack #EARTHWORM #WEEPSTEEL #Security #Mandiant #Sitecore #Malware #Google #0day

Zero-Day in Sitecore Exploited to Deploy WEEPSTEEL Malware https://hackread.com/zero-day-sitecore-exploited-deploy-weepsteel-malware/ #Vulnerability #CyberAttack #EARTHWORM #WEEPSTEEL #Security #Mandiant #Sitecore #Malware #Google #0day

Scattered Lapsus$ Hunters Demand Google Fire Security Experts or Face Data Leak https://hackread.com/scattered-lapsus-hunters-google-fire-experts-data-leak/ #ScatteredLapsus$Hunters #ScatteredSpider #Cybersecurity #ShinyHunters #CyberAttack #CyberCrime #Salesforce #Security #Mandiant #Google #Lapsu$

Scattered Lapsus$ Hunters Demand Google Fire Security Experts or Face Data Leak – Source:hackread.com https://ciso2ciso.com/scattered-lapsus-hunters-demand-google-fire-security-experts-or-face-data-leak-sourcehackread-com/ #ScatteredLapsus$Hunters #1CyberSecurityNewsPost #CyberSecurityNews #CharlesCarmakal #ScatteredSpider #cybersecurity #AustinLarsen #ShinyHunters #CyberAttack #CyberCrime #Salesforce #Hackread #Mandiant #security #Google #Lapsu$

Zscaler, Palo Alto Networks, SpyCloud among the affected by Salesloft breach https://www.helpnetsecurity.com/2025/09/02/zscaler-palo-alto-networks-spycloud-among-the-affected-by-salesloft-breach/ #PaloAltoNetworks #AstrixSecurity #databreach #Salesforce #Don'tmiss #PagerDuty #WideField #Hotstuff #Mandiant #SpyCloud #Zscaler #Google #Tanium #Gmail #OAuth #News

Zscaler, Palo Alto Networks, SpyCloud among the affected by Salesloft breach https://www.helpnetsecurity.com/2025/09/02/zscaler-palo-alto-networks-spycloud-among-the-affected-by-salesloft-breach/ #PaloAltoNetworks #AstrixSecurity #databreach #Salesforce #Don'tmiss #PagerDuty #WideField #Hotstuff #Mandiant #SpyCloud #Zscaler #Google #Tanium #Gmail #OAuth #News

Zscaler, Palo Alto Networks, SpyCloud among the affected by Salesloft breach https://www.helpnetsecurity.com/2025/09/02/zscaler-palo-alto-networks-spycloud-among-the-affected-by-salesloft-breach/ #PaloAltoNetworks #AstrixSecurity #databreach #Salesforce #Don'tmiss #PagerDuty #WideField #Hotstuff #Mandiant #SpyCloud #Zscaler #Google #Tanium #Gmail #OAuth #News

Zscaler, Palo Alto Networks, SpyCloud among the affected by Salesloft breach https://www.helpnetsecurity.com/2025/09/02/zscaler-palo-alto-networks-spycloud-among-the-affected-by-salesloft-breach/ #PaloAltoNetworks #AstrixSecurity #databreach #Salesforce #Don'tmiss #PagerDuty #WideField #Hotstuff #Mandiant #SpyCloud #Zscaler #Google #Tanium #Gmail #OAuth #News

Google Launches Sec-Gemini v1 AI Model for Real Time Cyber Defense

#Cybersecurity #CybersecurityAI #Google #GoogleAI #SecGemini #ThreatIntelligence #AIinSecurity #CyberDefense #Mandiant

https://winbuzzer.com/2025/04/05/google-launches-sec-gemini-v1-ai-model-for-real-time-cyber-defense-xcxwbn/

Threat Actors Are Exploiting Vulnerabilities Faster Than Ever – Source: www.techrepublic.com https://ciso2ciso.com/threat-actors-are-exploiting-vulnerabilities-faster-than-ever-source-www-techrepublic-com/ #rssfeedpostgeneratorecho #SecurityonTechRepublic #zerodayvulnerability #SecurityTechRepublic #0dayvulnerability #CyberSecurityNews #ndayvulnerability #datamanagement #Cybersecurity #timetoexploit #Cyberattack #Tech&Work #Mandiant #Security #Google #tte

Private US companies targeted by Stonefly APT https://www.helpnetsecurity.com/2024/10/03/private-us-companies-targeted-by-stonefly-apt/ #government-backedattacks #enterprise #NorthKorea #Don'tmiss #extortion #Hotstuff #Mandiant #Symantec #News #APT #USA

Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) released https://www.helpnetsecurity.com/2024/08/05/cyber-threat-intelligence-capability-maturity-model-cti-cmm-released/ #Industrynews #TidalCyber #Autodesk #Intel471 #Mandiant #Signify #Trellix #IBM

YetiHunter: Open-source threat hunting tool for Snowflake environments https://www.helpnetsecurity.com/2024/06/14/snowflake-threat-hunting/ #threatdetection #threathunting #opensource #Don'tmiss #Snowflake #Hotstuff #Mandiant #Permiso #News

YetiHunter: Open-source threat hunting tool for Snowflake environments https://www.helpnetsecurity.com/2024/06/14/snowflake-threat-hunting/ #threatdetection #threathunting #opensource #Don'tmiss #Snowflake #Hotstuff #Mandiant #Permiso #News

YetiHunter: Open-source threat hunting tool for Snowflake environments https://www.helpnetsecurity.com/2024/06/14/snowflake-threat-hunting/ #threatdetection #threathunting #opensource #Don'tmiss #Snowflake #Hotstuff #Mandiant #Permiso #News

YetiHunter: Open-source threat hunting tool for Snowflake environments https://www.helpnetsecurity.com/2024/06/14/snowflake-threat-hunting/ #threatdetection #threathunting #opensource #Don'tmiss #Snowflake #Hotstuff #Mandiant #Permiso #News

APT29/Russian Nation-State Hacker Targets German Political Parties

https://www.databreachtoday.com/russian-nation-state-hacker-targets-german-political-parties-a-24696

Safe prediction: won't be long before #Mandiant or others identify political influence attacks against the US.

#cybercrime #politicalinfluence #electiontampering

Barracuda Urges Replacing — Not Patching — Its Email Security Gateways

https://krebsonsecurity.com/2023/06/barracuda-urges-replacing-not-patching-its-email-security-gateways/

#InternationalComputerScienceInstitute #EmailSecurityGateway #BarracudaNetworks #LatestWarnings #NicholasWeaver #CaitlinCondon #CVE-2023-2868 #TimetoPatch #Mandiant #Rapid7

Barracuda Urges Replacing — Not Patching — Its Email Security Gateways https://krebsonsecurity.com/2023/06/barracuda-urges-replacing-not-patching-its-email-security-gateways/ #InternationalComputerScienceInstitute #EmailSecurityGateway #BarracudaNetworks #LatestWarnings #NicholasWeaver #CaitlinCondon #CVE-2023-2868 #TimetoPatch #Mandiant #Rapid7

Ukrainian police arrest multiple Clop ransomware gang suspects - Multiple suspects believed to be linked to the Clop ransomware gang have been deta... - http://feedproxy.google.com/~r/Techcrunch/~3/ZW68_FVkAnQ/ #telecommunications #colonialpipeline #securitybreaches #pharmaceuticals #lawenforcement #unitedstates #government #cybercrime #e-commerce #ransomware #southkorea #aerospace #extortion #oilandgas #security #mandiant #malware #singtel #ukraine #kroger #qualys #crime #tesla #law

Hackers are exploiting vulnerable Exchange servers to drop ransomware, Microsoft says - Hackers are exploiting recently discovered vulnerabilities in Exchange email servers to drop ransomw... - http://feedproxy.google.com/~r/Techcrunch/~3/vtW680Jbhik/ #federalbureauofinvestigation #computersecurity #securitybreaches #marcushutchins #cyberwarfare #unitedstates #cyberattack #cybercrime #healthcare #ransomware #australia #microsoft #security #mandiant #fireeye #malware #canada #github