Los investigadores de inteligencia sobre amenazas de Google han vinculado una vulnerabilidad de día cero con el desarrollo asistido por IA por parte de un grupo de ciberdelincuentes.
La vulnerabilidad se dirigió a una popular herramienta de administración de sistemas web de código abierto. Permitía a los atacantes eludir la autenticación de dos factores una vez que contaban con credenciales de usuario válidas. El fallo se originó en un error de lógica semántica: un desarrollador incluyó en el código una suposición de confianza que contradecía el protocolo de autenticación de la aplicación. El Grupo de Inteligencia de Amenazas de Google (GTIG) colaboró con el proveedor afectado para revelar la vulnerabilidad antes de que se pudiera ejecutar la campaña de explotación masiva prevista.
Los investigadores identificaron la conexión con la IA a través de la estructura del exploit. El script contenía cadenas de documentación educativas, una puntuación CVSS ficticia y un formato Python limpio, al estilo de los libros de texto, característico de la salida de grandes modelos de lenguaje. GTIG afirmó que no cree que Gemini de Google estuviera involucrado.
«Los ciberdelincuentes utilizan vulnerabilidades de día cero, frecuentemente en ataques masivos y rápidos, como el que planeó este atacante. Dado que los ciberdelincuentes deben modificar sus objetivos para extorsionarlos, utilizar vulnerabilidades de día cero durante un período prolongado es más difícil; por lo tanto, su mejor opción es el despliegue rápido», declaró John Hultquist , analista jefe del Grupo de Inteligencia de Amenazas de Google, a Help Net Security.
El malware asistido por IA es cada vez más difícil de detectar.
Más allá del descubrimiento de vulnerabilidades, la IA está integrada en el desarrollo de malware de maneras que complican su detección.
Actores vinculados a Rusia han desplegado dos familias de malware, CANFAIL y LONGSTREAM, que utilizan código señuelo generado por IA para ocultar su funcionalidad maliciosa. CANFAIL contiene comentarios creados por LLM que describen explícitamente bloques de código como relleno no utilizado, lo que indica que el atacante solicitó al modelo que generara grandes volúmenes de código inerte para su ofuscación. LONGSTREAM contiene 32 instancias separadas de código que consultan el estado del horario de verano del sistema, un patrón repetitivo y funcionalmente irrelevante diseñado para que el script parezca inofensivo para los analistas.
Un grupo independiente vinculado a la República Popular China, APT27, utilizó Gemini de Google para acelerar el desarrollo de una aplicación de gestión de red que daba soporte a una red operativa de repetidores. La herramienta se configuró con un parámetro de enrutamiento de tres saltos e incluyó los routers móviles como tipos de dispositivos compatibles, lo que indica la intención de enrutar el tráfico a través de direcciones IP residenciales.
PROMPTSPY amplía su capacidad de ataque autónomo.
Una puerta trasera para Android llamada PROMPTSPY lleva la integración de la IA un paso más allá. Este malware, identificado inicialmente por ESET, contiene un módulo de agente autónomo que envía el diseño de la interfaz de usuario en tiempo real del dispositivo a la API Gemini de Google y recibe a cambio coordenadas precisas de toques y comandos gestuales. El malware puede simular clics, deslizamientos y otras interacciones físicas sin intervención humana.
PROMPTSPY también puede capturar datos de autenticación biométrica, como PIN y patrones de bloqueo, y reproducirlos para recuperar el acceso a un dispositivo bloqueado. Si un usuario intenta desinstalarlo, el malware superpone una capa invisible sobre el botón de desinstalación, interceptando silenciosamente las pulsaciones. Su infraestructura de comando y control, incluidas las claves API, se puede actualizar de forma remota sin necesidad de reinstalar el malware. Google afirmó que actualmente no hay aplicaciones que contengan PROMPTSPY en Google Play , y que los dispositivos Android con Google Play Services están protegidos por Google Play Protect.
Hultquist señaló que existe malware similar, y la cuestión es si alguna variante logrará una escala significativa. “Hay malware parecido circulando, pero en su mayoría es experimental. Buscamos que los ciberdelincuentes encuentren algo que funcione a gran escala. Entonces, probablemente lo aprovecharán. A medida que los sistemas de IA se vuelvan más omnipresentes, se convertirán en un objetivo y una herramienta para que los actores dentro de la red consigan lo que quieren”.
Los ataques a la cadena de suministro alcanzan la infraestructura de IA.
En marzo de 2026, un grupo de ciberdelincuentes llamado TeamPCP , también identificado como UNC6780, comprometió varios repositorios de GitHub, incluidos los vinculados a la biblioteca de puerta de enlace de IA LiteLLM y al escáner de vulnerabilidades Trivy. Los atacantes instalaron un programa de robo de credenciales llamado SANDCLOCK en los entornos de compilación afectados, extrayendo secretos en la nube, como claves de AWS y tokens de GitHub. Posteriormente, estas credenciales se utilizaron en colaboración con grupos de ransomware.
La vulnerabilidad de LiteLLM es notable porque esta biblioteca se usa ampliamente para conectar aplicaciones de software con múltiples proveedores de IA. La exposición de las claves de la API de este paquete podría dar a los atacantes acceso al entorno de IA de una organización, lo que permitiría realizar labores de reconocimiento y recopilar datos a gran escala desde dentro de las redes corporativas.
Por otra parte, actores cibercriminales están eludiendo sistemáticamente los controles de facturación de las plataformas de IA. Grupos vinculados a la República Popular China han utilizado scripts automatizados para registrar y cancelar cuentas premium de LLM, alternando el acceso a la versión gratuita de forma masiva. Un grupo implementó un servicio de retransmisión que agregaba cuentas de Gemini, Claude y OpenAI para centralizar el acceso y distribuir los costos entre las credenciales comprometidas.
Fuente y redacción: helpnetsecurity.com