OpenAI a déclaré vendredi avoir interdit un ensemble de comptes liés à ce qu’il a qualifié d’opération d’influence secrète iranienne qui a exploité ChatGPT pour générer du contenu qui, entre autres, se concentrait sur la prochaine élection présidentielle américaine.
“Cette semaine, nous avons identifié et supprimé un groupe de comptes ChatGPT qui généraient du contenu pour une opération secrète d’influence iranienne identifiée sous le nom de Storm-2035”, a déclaré OpenAI.
“L’opération a utilisé ChatGPT pour générer du contenu axé sur un certain nombre de sujets, notamment des commentaires sur les candidats des deux côtés à l’élection présidentielle américaine, qu’elle a ensuite partagé via des comptes de réseaux sociaux et des sites Web.”
La société d’intelligence artificielle (IA) a déclaré que le contenu n’avait suscité aucun engagement significatif, la majorité des publications sur les réseaux sociaux recevant peu ou pas de likes, de partages et de commentaires. Il a en outre noté qu’il avait trouvé peu de preuves que les articles longs créés à l’aide de ChatGPT étaient partagés sur les plateformes de médias sociaux.
Les articles traitaient de la politique américaine et des événements mondiaux et ont été publiés sur cinq sites Web différents se faisant passer pour des médias progressistes et conservateurs, ce qui indique une tentative de cibler des personnes situées aux côtés opposés du spectre politique.
OpenAI a déclaré que son outil ChatGPT était utilisé pour créer des commentaires en anglais et en espagnol, qui étaient ensuite publiés sur une douzaine de comptes sur X et un sur Instagram. Certains de ces commentaires ont été générés en demandant à ses modèles d’IA de réécrire les commentaires publiés par d’autres utilisateurs de réseaux sociaux.
“L’opération a généré du contenu sur plusieurs sujets : principalement le conflit à Gaza, la présence d’Israël aux Jeux olympiques et l’élection présidentielle américaine – et dans une moindre mesure la politique au Venezuela, les droits des communautés Latinx aux États-Unis (tous deux en espagnol). et l’anglais) et l’indépendance de l’Écosse”, a déclaré OpenAI.
“Ils ont entrecoupé leur contenu politique de commentaires sur la mode et la beauté, peut-être pour paraître plus authentiques ou dans le but de se constituer une clientèle.”
La tempête-2035 était également l’un des groupes d’activités de menace mis en évidence la semaine dernière par Microsoft, qui l’a décrit comme un réseau iranien « engageant activement des groupes d’électeurs américains aux extrémités opposées du spectre politique avec des messages polarisants sur des questions telles que les candidats à la présidentielle américaine, les LGBTQ ». droits humains et le conflit Israël-Hamas.
Certains des faux sites d’information et de commentaires créés par le groupe incluent EvenPolitics, Nio Thinker, Savannah Time, Teorator et Westland Sun. Ces sites ont également été observés utilisant des services basés sur l’IA pour plagier une fraction de leur contenu provenant de publications américaines. Le groupe serait opérationnel à partir de 2020.
Microsoft a en outre mis en garde contre une augmentation des activités d’influence malveillante étrangère ciblant les élections américaines au cours des six derniers mois de la part des réseaux iraniens et russes, ces derniers remontant à des clusters suivis sous le nom de Ruza Flood (alias Doppelganger), Storm-1516. , et Storm-1841 (alias Rybar).
“Doppelganger diffuse et amplifie des informations fabriquées, fausses ou même légitimes sur les réseaux sociaux”, a déclaré la société française de cybersécurité HarfangLab. “Pour ce faire, les comptes de réseaux sociaux publient des liens qui initient une chaîne obscurcie de redirections menant vers des sites Web au contenu final.”
Cependant, il semble que le réseau de propagande change de tactique en réponse à une répression agressive, utilisant de plus en plus de publications et de publicités non politiques et usurpant des médias d’information non politiques et de divertissement comme Cosmopolitan, The New Yorker et Entertainment Weekly pour tenter d’échapper à la détection. , par méta.
Les messages contiennent des liens qui, lorsqu’ils sont exploités, redirigent les utilisateurs vers un article lié à la guerre ou à la géopolitique en Russie sur l’un des domaines contrefaits imitant des publications de divertissement ou de santé. Les annonces sont créées à l’aide de comptes compromis.
La société de médias sociaux, qui a perturbé 39 opérations d’influence en Russie, 30 en Iran et 11 en Chine depuis 2017 sur ses plateformes, a déclaré avoir découvert six nouveaux réseaux en Russie (4), au Vietnam (1) et aux États-Unis (1). ) au deuxième trimestre 2024.
“Depuis mai, Doppelganger a repris ses tentatives de partage de liens vers ses domaines, mais à un rythme bien inférieur”, a déclaré Meta. “Nous les avons également vu expérimenter plusieurs sauts de redirection, y compris le service de raccourcissement de liens de TinyURL, pour masquer la destination finale derrière les liens et tromper Meta et nos utilisateurs dans le but d’éviter la détection et de diriger les gens vers leurs sites Web hors plateforme.”
Cette évolution intervient alors que le groupe d’analyse des menaces (TAG) de Google a également déclaré cette semaine avoir détecté et perturbé les efforts de spear phishing soutenus par l’Iran visant à compromettre les comptes personnels d’utilisateurs de haut niveau en Israël et aux États-Unis, y compris ceux associés au Campagnes présidentielles américaines.
L’activité a été attribuée à un acteur menaçant nommé APT42, une équipe de pirates informatiques parrainée par l’État et affiliée au Corps des Gardiens de la révolution islamique (CGRI) iranien. Il est connu pour partager des chevauchements avec un autre ensemble d’intrusions connu sous le nom de Charming Kitten (alias Mint Sandstorm).
“APT42 utilise diverses tactiques différentes dans le cadre de ses campagnes de phishing par courrier électronique, notamment l’hébergement de logiciels malveillants, de pages de phishing et de redirections malveillantes”, a déclaré le géant de la technologie. “Ils tentent généralement d’abuser de services comme Google (c’est-à-dire Sites, Drive, Gmail et autres), Dropbox, OneDrive et autres à ces fins.”
La stratégie globale consiste à gagner la confiance de leurs cibles en utilisant des techniques sophistiquées d’ingénierie sociale dans le but de les faire sortir de leur messagerie électronique et d’accéder à des canaux de messagerie instantanée comme Signal, Telegram ou WhatsApp, avant de pousser de faux liens conçus pour collecter leurs informations de connexion. .
Les attaques de phishing se caractérisent par l’utilisation d’outils tels que GCollection (alias LCollection ou YCollection) et DWP pour recueillir les informations d’identification des utilisateurs de Google, Hotmail et Yahoo, a noté Google, soulignant la « solide compréhension d’APT42 des fournisseurs de messagerie qu’ils ciblent ».
“Une fois qu’APT42 accède à un compte, ils ajoutent souvent des mécanismes d’accès supplémentaires, notamment la modification des adresses e-mail de récupération et l’utilisation de fonctionnalités permettant aux applications qui ne prennent pas en charge l’authentification multifacteur, comme les mots de passe spécifiques à l’application dans Gmail et les mots de passe d’applications tierces. dans Yahoo”, ajoute-t-il.