Por Mid 
Google Gemini hackers: el Threat Intelligence Group de Google documentó en febrero de 2026 que grupos APT respaldados por China, Irán, Corea del Norte y Rusia están abusando de Gemini en todas las fases del ataque (reconocimiento, phishing, análisis de vulnerabilidades, desarrollo de C2 y malware). APT31 usó Gemini con la herramienta Hexstrike contra objetivos en EE.UU.; también se han detectado frameworks como HonestCue y kits de phishing que integran la API de Gemini. Google ha deshabilitado cuentas vinculadas a estas campañas y subraya que la IA amplifica la eficiencia de los atacantes pero no genera por ahora capacidades completamente nuevas.
¿Qué es el informe Google Gemini hackers?
En febrero de 2026, el Google Threat Intelligence Group (GTIG) publicó un informe sobre el uso malicioso de modelos de IA generativa. El documento detalla cómo actores estatales y del crimen organizado utilizan Gemini para reconocimiento, generación de señuelos de phishing, análisis de vulnerabilidades, desarrollo de malware y soporte en la exfiltración de datos. El escenario Google Gemini hackers no se limita a un país: incluye a APT31 (China), APT42 (Irán), UNC2970 (Corea del Norte) y grupos vinculados a Rusia, según fuentes como Bleeping Computer y The Register.
APT31 y el abuso de Google Gemini hackers contra EE.UU.
APT31 (Violet Typhoon), asociado a China, usó Gemini para planificar y apoyar ciberataques contra organizaciones estadounidenses. Adoptaron el rol de experto en ciberseguridad para automatizar el análisis de vulnerabilidades y generar planes de prueba. Integraron la herramienta de red team Hexstrike con Gemini para analizar exploits (RCE, bypass de WAF, inyección SQL) contra blancos concretos en EE.UU. Google deshabilitó las cuentas asociadas a esta campaña. Este caso ilustra cómo el abuso de Google Gemini hackers permite escalar el reconocimiento y la fase de explotación sin necesidad de equipos muy grandes. Otras vulnerabilidades y amenazas avanzadas que hemos cubierto en el blog incluyen zero-days y campañas APT que también combinan ingeniería social y explotación de fallos.
APT42, UNC2970 y otros: Google Gemini hackers en phishing y malware
APT42 (Irán) utilizó Gemini para campañas de ingeniería social y para acelerar el desarrollo de herramientas maliciosas propias (depuración, generación de código e investigación de técnicas de explotación). Grupos de Corea del Norte (UNC2970) y de Rusia también aparecen en el informe por el uso de Gemini en distintas fases del ciclo de ataque. Además, actores criminales (no solo estatales) han integrado la IA en frameworks y kits: HonestCue es un framework de prueba de concepto que usa la API de Gemini para generar código C# de malware en segunda etapa; CoinBait es un kit de phishing desarrollado con herramientas de generación de código por IA. En campañas ClickFix se ha observado uso de IA generativa para distribuir el info-stealer AMOS en macOS. Más contexto en nuestra sección de ransomware y malware y en artículos sobre brechas y filtraciones.
Implicaciones y respuesta ante Google Gemini hackers
Google subraya que, por ahora, la IA está aumentando la eficiencia de los atacantes (automatización, velocidad de desarrollo) pero no ha generado saltos cualitativos radicales en capacidades. Aun así, el abuso de Google Gemini hackers obliga a reforzar controles: validación de identidad y uso de APIs, detección de patrones de generación masiva de contenido malicioso y formación frente a phishing y señuelos generados por IA. La compañía ha publicado orientaciones sobre uso adversarial de la IA generativa. Para defensa, conviene seguir informes de GTIG y de equipos de threat intelligence, y cruzar estas amenazas con incidentes de infraestructura y seguridad que afecten a servicios en la nube.
Conclusión
El informe de febrero de 2026 confirma que Google Gemini hackers —grupos APT y criminales— utilizan el modelo en reconocimiento, phishing, análisis de vulnerabilidades, desarrollo de C2 y malware. APT31, APT42, UNC2970 y actores rusos aparecen en el panorama; HonestCue y CoinBait muestran la adopción por el crimen organizado. Google ha tomado medidas contra cuentas abusivas y documenta el fenómeno para que organizaciones y equipos de seguridad adapten defensas y políticas de uso de IA.
FAQ sobre Google Gemini hackers
¿Qué grupos usan Gemini para atacar? El informe de GTIG cita a APT31 (China), APT42 (Irán), UNC2970 (Corea del Norte) y grupos vinculados a Rusia, además de actores criminales que usan frameworks como HonestCue y kits como CoinBait.
¿Qué hace Google contra el abuso? Google deshabilita cuentas y accesos asociados a campañas detectadas, publica informes de threat intelligence y orientaciones sobre uso adversarial de la IA generativa.
¿La IA da capacidades nuevas a los atacantes? Según Google, la IA aumenta sobre todo la eficiencia (automatización, velocidad); por ahora no se han observado saltos cualitativos radicales en capacidades ofensivas.
¿Qué es HonestCue? Es un framework de prueba de concepto que usa la API de Gemini para generar código C# de malware en segunda etapa, documentado en el informe de GTIG.
¿Dónde leer el informe oficial? En el blog de Google Cloud (GTIG report feb 2026) y en los recursos de Threat Intelligence de Google Cloud.