साइबरक्राइम अंडरग्राउंड में AI: hype और कौशल का मिलन

22 जून 2026 • 7 min read

विषय सूची

आज जब AI और साइबरक्राइम की बात होती है, तो बहुत कुछ विज्ञान-कथा जैसा लगता है: autonomous malware, डिजिटल superhackers, या ऐसे models जो रात में खुद ही कंपनी नेटवर्क तोड़ दें। मुझे लगता है यह कहानी बहुत सुविधाजनक है। यह शोर करती है, अच्छी बिकती है, और असली समस्या से ध्यान हटाती है।

AI का खतरा यह नहीं कि हर अपराधी समूह के पास अचानक कोई genius आ गया है। खतरा यह है कि कई boring काम सस्ते, तेज और scalable हो रहे हैं: translation, rewriting, victims को sort करना, phishing को अधिक credible बनाना, code explain करना, errors debug करना, data leaks analyze करना, social engineering scripts बदलना, tools package करना और claims को professional दिखाना।

साइबरक्राइम में सबसे खतरनाक AI autonomous superhacker नहीं, बल्कि वह assistant है जो criminal routine work को तेज करता है।

अंडरग्राउंड शुद्ध सच कम ही बेचता है

इस विषय को संदेह के साथ शुरू करना चाहिए। Criminal forums, Telegram groups और cybercrime-as-a-service offers में बहुत दावे होते हैं। कुछ लोग असली tools बेचते हैं। कुछ renamed open-source tools, public models पर simple wrappers, stolen accounts, jailbreak prompts, useless panels या दूसरे fraudsters के खिलाफ fraud बेचते हैं।

“AI hacking tool” का विज्ञापन यह साबित नहीं करता कि tool तकनीकी रूप से प्रभावशाली है। USENIX की Malla services, यानी “Malicious LLM-integrated applications”, पर study ने 212 real services देखीं और 8 backend LLMs तथा 182 jailbreak prompts पाए। Market real है, लेकिन कई offers secret supermodels नहीं, बल्कि wrappers, jailbreaks और public या open models का misuse हैं।

Google Threat Intelligence Xanthorox में यही pattern बताता है: underground में इसे अपना offensive model बताया गया, लेकिन Google के अनुसार यह jailbroken commercial APIs और open-source components पर आधारित था। Packaging underground lab जैसी लगती है, पर नीचे की technology अक्सर साधारण होती है।

इसलिए दोनों extremes गलत हैं: सब hype है, या AI पूरी cybercrime दुनिया पर कब्जा कर लेगा। बेहतर view शांत है: AI magic नहीं है, लेकिन existing workflows में fit होता है। जो tool समय बचाता है, भाषा की बाधा घटाता है या हर घंटे अधिक variants बनाता है, वह उपयोगी हो जाता है।

आज क्या plausible है

OpenAI, Google Threat Intelligence और Europol की public reports काफी consistent हैं: attackers generative AI का उपयोग वहां करते हैं जहां यह work तेज और quality बेहतर करता है। यह skill का पूरा replacement नहीं, amplifier है।

मुख्य areas हैं phishing और social engineering, fraud और identity abuse, stolen data processing, technical help, packaging और sales। Text अधिक natural और local होता है। Profiles, invoices, support requests और investment stories अधिक credible बनती हैं। Logs, dumps, mailbox, CRM exports, screenshots और chats को तेजी से sort किया जा सकता है। Models code explain, scripts adapt, errors interpret और exploit ideas structure कर सकते हैं। औसत tool भी AI से बेहतर document, promote और support हो सकता है।

सबसे मजबूत evidence fraud में है

जितना claim technical होता है, public evidence अक्सर उतना पतला होता है। Fraud और social engineering अलग हैं। FBI IC3 Report 2025 “AI Related” को descriptor के रूप में record करता है और 22,364 complaints के साथ 893,346,472 US dollars reported losses बताता है। यह perfect forensic measurement नहीं है, लेकिन strong signal है।

AI-related investment scams में 632 million dollars से अधिक losses, BEC cases में 30 million से अधिक और employment scams में लगभग 13 million losses हैं। यह thesis से मेल खाता है: सबसे बड़ा documented damage autonomous malware से नहीं, बल्कि better deception, better scale और more believable identities से आता है।

मैं क्या नहीं मानता

मैं नहीं मानता कि criminal groups व्यापक रूप से autonomous AI agents का उपयोग कर रहे हैं जो realistic targets चुनते हैं, systems compromise करते हैं, lateral move करते हैं, data exfiltrate करते हैं और extortion पूरा करते हैं, वह भी human guidance के बिना।

Experiments और proof of concept होंगे। लेकिन मजबूत reports subtasks दिखाती हैं: research, translation, code help, campaign preparation, variants, social engineering और data analysis। UK NCSC भी 2027 तक fully automated advanced end-to-end attacks को unlikely मानता है। अधिक realistic human-machine teaming है।

Cybercrime को dangerous होने के लिए fully autonomous होना जरूरी नहीं। इतना काफी है कि वही groups अधिक attempts करें, faster localize करें, faster learn करें और अधिक professional दिखें।

धोखे की quality बढ़ रही है

कई security concepts अभी भी human recognition पर निर्भर हैं: employees suspicious emails report करें, fake links पहचानें, strange language notice करें और unusual requests पर सवाल उठाएं। यह महत्वपूर्ण है, लेकिन कठिन होता जा रहा है।

अगर attacker known supplier की style में invoice लिख सकता है, real product environment के अनुसार support request बना सकता है, LinkedIn message machine translation जैसा नहीं लगता और scam दस भाषाओं में clean चल सकता है, तो defense बदलता है।

Technical brakes चाहिए:

strong MFA, ideally phishing-resistant
Conditional Access और device binding
SPF, DKIM और DMARC के साथ mail authentication
OAuth app abuse detection
new inbox rules और suspicious forwarding से protection
payment और approval processes email से बाहर
damage के बाद नहीं, पहले logging

Cybercrime-as-a-Service अधिक professional हो रहा है

Cybercrime पहले से roles में बंटा है: initial-access brokers, phishing kits, malware loaders, ransomware affiliate programs, data brokers, hosting, bulletproof infrastructure, money laundering networks, translators, call centers और support channels।

AI इस structure में fit होता है। Provider documentation fast लिखता है। Affiliate campaign adapt करता है। Data broker leak बेहतर describe करता है। Scammer customer questions answer करता है। Developer errors debug करता है। कम experienced actor technical hurdles पार करता है।

Microsoft AI को “tradecraft” कहता है: text, code, media, data summarization, persona building, malware debugging और infrastructure scaffolding का accelerator। Google HONESTCUE जैसे experiments भी देखता है। यह serious है, लेकिन workflow के blocks हैं, mass autonomous attacks का proof नहीं।

Defender को अधिक noise दिखता है

Admins, MSPs और security teams को अधिक noise मिलेगा: phishing variants, well-written fake support, cleaner scans, semi-automated recon, alleged exploits, plausible reports और AI नाम वाले tools जिनमें technical substance कम है।

Central question यह नहीं है: “क्या AI इस्तेमाल हुआ?” बेहतर सवाल है: क्या real attacker path है? क्या हमारे environment में affected system है? Identity layer protected है? External attack surface है? Exploitation या preparation की telemetry है? Impact proven है या claimed? क्या patch, configure, block, monitor या सिर्फ document करना है?

यह मेरी AI युग के Patchday वाली सोच से भी जुड़ा है: signals बढ़ते हैं, लेकिन security panic से नहीं, better prioritization से जीती जाती है।

कम attack surface अधिक valuable है

जैसे-जैसे attacks scale होते हैं, boring reduction अधिक valuable होता है: कम public services, local tools, browser extensions, admin accounts, long-lived tokens, shadow IT, quick approvals और owner-less old test systems। यह glamorous AI counterattack नहीं, hygiene है। लेकिन deception बेहतर और recon सस्ता हो तो यही hygiene अधिक जरूरी है।

अब क्या करना चाहिए

Practical सवाल हैं: क्या important accounts phishing-resistant हैं? क्या suspicious identity events जैसे new OAuth apps, unusual logins, new inbox rules, suspicious forwarding और mass failures दिखते हैं? Money, data और access के processes clear हैं? Critical requests second channel से verify होते हैं? Remote hiring और helpdesk पर्याप्त strict हैं? Patching risk-based है? Unneeded tools घट रहे हैं?

मेरी राय

Cybercrime underground में AI कोई दूर की भविष्य चर्चा नहीं। यह पहले से work का हिस्सा है। लेकिन मुख्य point dramatic शब्द “AI” नहीं, speed है।

Cybercrime अधिक productive, linguistically better, automated और professionally packaged हो रहा है। कई offers exaggerated हैं, कुछ scams हैं, कुछ technically banal हैं। फिर भी market shift हो रहा है।

Real change intermediate steps में है: text, code, data, support, variants, scale। Defenders को वहीं focus करना चाहिए।

हर organization को अपना AI-SOC नहीं चाहिए। लेकिन हर organization को कम attack surface, बेहतर identity security, cleaner processes, faster patch paths और पर्याप्त telemetry चाहिए ताकि वह blind न रहे।

AI cybercrime को automatically genius नहीं बनाता। यह mediocre cybercrime को अधिक productive बनाता है। और यही इसे बहुत serious बनाता है।

अगली बार तक,
Joe

स्रोत