Se cree que un sofisticado marco de malware para Linux descubierto recientemente, conocido como VoidLink, fue desarrollado por una sola persona con la ayuda de modelos de inteligencia artificial (IA).
Esto se debe a los nuevos hallazgos de Check Point Research, que identifican errores de seguridad operativa por parte de los creadores del malware y arrojan luz sobre el origen del desarrollo del malware. Los últimos conocimientos hacen de VoidLink uno de los primeros ejemplos de malware avanzado generado principalmente mediante inteligencia artificial.
«Estos materiales proporcionan evidencia clara de que el malware se generó principalmente a través de un desarrollo impulsado por IA y alcanzó su primer implante funcional en una semana», dijo la firma de ciberseguridad, y agregó que había alcanzado más de 88.000 líneas de código a principios de diciembre de 2025.
VoidLink, que se hizo público por primera vez la semana pasada, es un marco de malware rico en funciones escrito en Zig y diseñado específicamente para un acceso sigiloso a largo plazo a entornos de nube basados en Linux. Se dice que este malware proviene de un entorno de desarrollo relacionado con China. Al momento de escribir este artículo, se desconoce el propósito exacto del malware. Hasta la fecha no se han observado infecciones en el mundo real.
Un análisis de seguimiento realizado por Sysdig destacó por primera vez el hecho de que el conjunto de herramientas puede haber sido desarrollado con la ayuda de modelos de lenguaje a gran escala (LLM) bajo la dirección de una persona con amplio conocimiento del desarrollo del kernel y experiencia en equipos rojos, citando cuatro líneas de evidencia diferentes.
Salida de depuración excesivamente sistemática con formato completamente consistente en todos los módulos Los datos de marcador de posición («John Doe») son típicos de los ejemplos de capacitación de LLM integrados en plantillas de respuesta señuelo Control de versiones de API unificadas donde todo es _v3 (por ejemplo, BeaconAPI_v3, docker_escape_v3, timestomp_v3) Respuestas JSON tipo plantilla que cubren todos los campos posibles
«El escenario más probable era que los desarrolladores capacitados de habla china usaran la IA para acelerar el desarrollo (repetición, registro de depuración, generación de plantillas JSON) y al mismo tiempo proporcionaran experiencia y arquitectura de seguridad», dijo el proveedor de seguridad en la nube a finales de la semana pasada.
El informe de Check Point del martes confirma esta hipótesis, diciendo que identificó artefactos que sugieren que el desarrollo en sí fue diseñado utilizando modelos de IA para construir, ejecutar y probar el marco, convirtiendo efectivamente lo que era un concepto en una herramienta de trabajo en una línea de tiempo acelerada.
Descripción general del proyecto VoidLink
«El enfoque general para el desarrollo de VoidLink puede describirse como desarrollo basado en especificaciones (SDD)», afirma la revista. «En este flujo de trabajo, los desarrolladores comienzan especificando lo que quieren construir, luego crean un plan, lo dividen en tareas y solo entonces autorizan a los agentes a implementar ese plan».
Se cree que los actores de amenazas comenzaron a trabajar en VoidLink a fines de noviembre de 2025, utilizando un agente de codificación conocido como TRAE SOLO para realizar sus tareas. Esta evaluación se basa en la presencia de archivos auxiliares generados por TRAE que se copiaron junto con el código fuente en los servidores del actor de la amenaza y luego se filtraron a directorios abiertos disponibles públicamente.
Además, Check Point dijo que descubrió materiales de planificación interna escritos en chino relacionados con cronogramas de sprint, desgloses de funciones y pautas de codificación. Estos materiales exhiben todas las características del contenido generado por LLM: bien estructurados, con un formato consistente y escritos meticulosamente. Uno de los documentos que detalla el plan de desarrollo fue creado el 27 de noviembre de 2025.
Este documento supuestamente fue reutilizado como un plan de ejecución para que LLM rastree, cree y pruebe malware. Check Point, que recreó el flujo de trabajo de implementación utilizando el IDE TRAE del desarrollador, descubrió que el modelo producía un código similar al código fuente de VoidLink.
Planes de desarrollo traducidos para tres equipos: core, arsenal y backend.
«Una revisión de las instrucciones de estandarización del código con el código fuente recuperado de VoidLink mostró un sorprendente nivel de coherencia», dice el informe. «Las convenciones, la estructura y los patrones de implementación coinciden tan bien que no hay duda de que el código base se escribió siguiendo exactamente esas instrucciones».
Este desarrollo es otra señal de que, si bien la IA y el LLM pueden no equipar a los atacantes malintencionados con capacidades novedosas, pueden reducir aún más la barrera de entrada para los actores maliciosos, permitiendo que incluso un solo individuo conciba, cree e itere rápidamente en sistemas complejos y ejecute ataques sofisticados. Agiliza un proceso que alguna vez requirió mucha mano de obra y recursos y solo estaba disponible para los adversarios que atacaban a una nación.
«VoidLink representa un cambio real en la forma en que se escribe el malware avanzado. Lo que destacó no fue sólo la sofisticación del marco, sino la velocidad con la que fue construido», dijo Eli Smadja, gerente de grupo de Check Point Research, en un comunicado compartido con The Hacker News.
«La IA ahora permite que lo que parece ser un solo atacante planifique, desarrolle e itere plataformas de malware complejas en días, algo que antes requería equipos coordinados y recursos significativos. Esta es una señal clara de que la IA está cambiando la economía y la escala de las amenazas cibernéticas».
En un libro blanco publicado esta semana, Group-IB explicó que la IA acelerará la «quinta ola» en la evolución del cibercrimen, proporcionando herramientas listas para usar para permitir ataques sofisticados. «Los adversarios están industrializando la IA, convirtiendo habilidades que alguna vez fueron especializadas, como la persuasión, la suplantación de identidad y el desarrollo de malware, en servicios bajo demanda disponibles para cualquier persona con una tarjeta de crédito», dice el informe.
La firma de ciberseguridad con sede en Singapur señaló que las publicaciones en foros de la web oscura que presentan palabras clave de IA han aumentado en un 371% desde 2019, y los actores de amenazas promueven LLM oscuros como Nytheon AI sin restricciones éticas, marcos de jailbreak y kits de identificación sintéticos que ofrecen actores de video de IA, voces clonadas e incluso conjuntos de datos biométricos por tan solo $5.
«La IA ha industrializado el cibercrimen. Lo que alguna vez requirió operadores capacitados y tiempo ahora se puede comprar, automatizar y escalar globalmente», dijo Craig Jones, ex director de cibercrimen de Interpol y asesor estratégico independiente.
«Aunque la IA no ha creado nuevos incentivos para los ciberdelincuentes, el dinero, el apalancamiento y el acceso siguen impulsando el ecosistema. La IA ha aumentado drásticamente la velocidad, la escala y la sofisticación con la que se persiguen esos incentivos».
Source link
