El malware adaptativo altamente avanzado utiliza IA para confundir las defensas de seguridad

Redazione RHC : 7 noviembre 2025 17:50

Según un análisis reciente del Grupo de Inteligencia de Amenazas de Google (GTIG), se ha identificado un cambio en los actores de amenazas durante el último año.

Mejoras continuas en el ámbito clandestino del abuso de la IA

Los atacantes ya no solo aprovechan la inteligencia artificial (IA) para aumentar la productividad de los ataques, sino que también están desplegando nuevo malware basado en IA en operaciones reales .

Esto marca una nueva fase operativa del abuso de la IA, que involucra herramientas que alteran dinámicamente el comportamiento durante su ejecución.

El informe del equipo de inteligencia de amenazas de Google, una actualización del análisis de enero de 2025 titulado «Uso indebido adversarial de la IA generativa «, detalla cómo los actores de amenazas cibernéticas y los ciberdelincuentes respaldados por gobiernos están integrando y experimentando con la IA a lo largo de todo el ciclo de vida del ataque.

PROMPTFLUX: Nuevo malware que utiliza la API de Gemini

El análisis de GTIG revela que agentes patrocinados por estados de Corea del Norte, Irán y China, junto con delincuentes motivados económicamente, están abusando cada vez más de Gemini a lo largo de todo el ciclo de vida del ataque, desde señuelos hasta
phishing hasta configuraciones de comando y control.

Un malware recientemente detectado engaña al LLM para que genere scripts de evasión autónomos, produciendo solo el código sin texto adicional y registrando las respuestas en un archivo temporal para su posterior perfeccionamiento.

Google TIG señala que, si bien existen funciones de actualización automática comentadas, esto indica una fase temprana de desarrollo. El malware también intenta propagarse lateralmente a través de unidades extraíbles y recursos compartidos de red.

Este enfoque aprovecha el poder generativo de la inteligencia artificial no solo para la creación, sino también para la supervivencia continua del propio malware, a diferencia del malware estático que se basa en firmas fijas que son fácilmente detectadas por los defensores.

La aparición de PROMPTFLUX está en consonancia con la maduración del mercado del cibercrimen, donde las herramientas de IA están inundando los foros clandestinos, ofreciendo capacidades que van desde la generación de deepfakes hasta la explotación de vulnerabilidades a precios de suscripción.

El malware se está volviendo cada vez más dinámico para confundir las defensas activas.

Una vez descubierto el malware, Google deshabilitó rápidamente las claves API y los proyectos asociados, mientras que DeepMind mejoró los clasificadores de modelos y las medidas de seguridad de Gemini para bloquear las solicitudes de uso indebido .

Por lo tanto, se puede deducir que los actores que representan una amenaza están reduciendo progresivamente las barreras para los delincuentes novatos.

GTIG advierte sobre el aumento de los riesgos, incluido el ransomware adaptativo como PROMPTLOCK que crea dinámicamente scripts Lua para el cifrado.

La empresa subraya su compromiso con la IA responsable a través de principios que priorizan barreras de seguridad robustas, el intercambio de información mediante marcos como Secure AI (SAIF) y herramientas de gestión de vulnerabilidades de tipo red teaming.

Innovaciones como Big Sleep para la detección de vulnerabilidades y CodeMender para la aplicación automática de parches subrayan los esfuerzos para contrarrestar de forma proactiva las amenazas de la IA.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli