Google dijo el lunes que había identificado a un atacante desconocido que utilizaba un exploit de día cero que probablemente se desarrolló en un sistema de inteligencia artificial (IA), marcando la primera vez que la tecnología se utiliza realmente en un contexto malicioso para el descubrimiento de vulnerabilidades y la generación de exploits.
Se dice que la actividad es obra de actores de amenazas cibercriminales, que parecen haber trabajado juntos para planificar lo que el gigante tecnológico describe como una «operación masiva de explotación de vulnerabilidades».
«El análisis de los exploits asociados con esta campaña identificó una vulnerabilidad de día cero implementada en un script Python que permite a los usuarios evitar la autenticación de dos factores (2FA) en una popular herramienta de administración de sistemas basada en la web de código abierto», dijo Google Threat Intelligence Group (GTIG) en un informe compartido con The Hacker News.
El gigante tecnológico dijo que trabajó con los proveedores afectados para revelar y corregir de manera responsable las fallas con el fin de interrumpir la actividad. El nombre de la herramienta no fue revelado.
Si bien no hay evidencia que sugiera que la herramienta Gemini AI de Google se haya utilizado para ayudar a los atacantes, GTIG evaluó con alta confianza que los modelos de AI se utilizaron como armas para facilitar el descubrimiento de fallas y la armamentización a través de scripts Python con todas las características típicamente asociadas con el código generado por modelos de lenguaje grande (LLM).
“Por ejemplo, el script es rico en cadenas de documentación educativa que contienen puntuaciones CVSS alucinatorias y utiliza el formato Python estructurado, similar a un libro de texto, que es tan característico de los datos de capacitación de LLM (por ejemplo, menús de ayuda detallados y clases de color _C ANSI limpias)”, agregó GTIG.
Esta vulnerabilidad se describe como una omisión 2FA y requiere credenciales de usuario válidas para explotarla. Esto se debe a fallas en la lógica semántica de alto nivel que ocurren como resultado de suposiciones de confianza codificadas, que LLM es bueno para descubrir.
«La IA ya está acelerando el descubrimiento de vulnerabilidades y reduciendo el esfuerzo necesario para identificar, verificar y convertir las fallas en armas», dijo Ryan Dewhurst, jefe de inteligencia de amenazas de watchTowr, a The Hacker News en un comunicado. «Ésta es la realidad hoy en día. El descubrimiento, la utilización de armas y la explotación están ocurriendo más rápido. No estamos avanzando hacia cronogramas comprimidos. Hemos visto cronogramas comprimidos durante años. No hay piedad para los atacantes ni exclusión voluntaria para los defensores».
Este desarrollo se realizó para que la IA no solo actúe como un multiplicador de poder para la divulgación y explotación de vulnerabilidades, sino que también permita a los atacantes desarrollar malware polimórfico y realizar operaciones de malware autónomas, como se observa en el caso de PromptSpy, un malware de Android que aprovecha Gemini para analizar la pantalla actual y proporcionar instrucciones para anclar aplicaciones maliciosas a la lista de aplicaciones recientes.
Una investigación más profunda de la puerta trasera reveló un conjunto de características más amplio que permite al malware navegar por la interfaz de usuario de Android, monitorear e interpretar de forma autónoma la actividad del usuario en tiempo real y determinar su próximo curso de acción utilizando un módulo de agente autónomo.
PromptSpy también tiene la capacidad de capturar los datos biométricos de una víctima y reproducir gestos de autenticación, como un PIN o patrón de pantalla de bloqueo, para recuperar el acceso a un dispositivo comprometido. Además, puede evitar la desinstalación utilizando el módulo «AppProtectionDetector». El módulo identifica las coordenadas en pantalla del botón «Desinstalar» y proporciona una superposición invisible directamente encima del botón para bloquear los eventos táctiles de la víctima y dar la impresión de que el botón no responde.
«Aunque PromptSpy se inicializa con infraestructura y credenciales predeterminadas codificadas, el malware está diseñado con una alta resiliencia operativa, lo que permite a los atacantes rotar componentes críticos en tiempo de ejecución sin tener que volver a implementar la carga útil de PromptSpy», dijo Google.
«En particular, la infraestructura de comando y control (C2) del malware, incluidas las claves API de Gemini y los servidores de retransmisión VNC, se pueden actualizar dinámicamente a través del canal C2. Este modelo de configuración muestra que los desarrolladores diseñaron la puerta trasera para anticipar contramedidas defensivas y mantener su presencia incluso si un defensor identifica y bloquea un punto final de infraestructura en particular».
Google dijo que tomó medidas contra PromptSpy deshabilitando todos los activos relacionados con la actividad maliciosa. No se encontraron aplicaciones que contengan malware en Play Store. Aquí hay algunos otros casos de fraude específico de Gemini que descubrimos:
Un grupo de ciberespionaje sospechoso de estar vinculado a China llamado UNC2814 pidió a Gemini que asumiera el papel de experto en seguridad de redes para activar jailbreaks impulsados por personas y apoyar la investigación de vulnerabilidades en objetivos de dispositivos integrados, incluido el firmware TP-Link y las implementaciones del Protocolo de transferencia de archivos Odette (OFTP). El actor de amenazas norcoreano conocido como APT45 (también conocido como Andariel y Onyx Sleet) envió «miles de mensajes repetidos» analizando recursivamente varios CVE y validando exploits de prueba de concepto (PoC). Un grupo de piratas informáticos chino conocido como APT27 utilizó Gemini para acelerar el desarrollo de una aplicación de gestión de flotas destinada a gestionar redes operativas de cajas de retransmisión (ORB). Una serie de intrusiones alineadas con Rusia se dirigieron a organizaciones en Ucrania para entregar malware habilitado para IA llamado CANFAIL y LONGSTREAM. Ambos utilizan código señuelo generado por LLM para ocultar su funcionalidad maliciosa.
También descubrimos que los actores de amenazas estaban experimentando con un repositorio especializado de GitHub llamado «wooyun-legacy» diseñado como un complemento de Claude Code Skills que presenta más de 5000 casos de vulnerabilidades del mundo real recopilados por la plataforma china de divulgación de vulnerabilidades WooYun entre 2010 y 2016.
«Preparar el modelo con datos de vulnerabilidad facilita el aprendizaje contextual, lo que guía al modelo para abordar el análisis de código como un experto experimentado y ayuda a identificar fallas lógicas que el modelo base podría no priorizar», explicó Google.
En otros lugares, se dice que los actores de amenazas que se cree que están alineados con China han implementado herramientas de agentes como Hexstrike AI y Strix en ataques dirigidos a empresas de tecnología japonesas y las principales plataformas de ciberseguridad del este de Asia, realizando una detección automatizada con una mínima supervisión humana.
Google también dijo que sigue viendo actores de operaciones de información (IO) en Rusia, Irán, China y Arabia Saudita que utilizan IA para tareas de productividad comunes como investigación, creación de contenido y localización, al tiempo que condena la actividad de amenazas relacionada con China de UNC6201 que implica el uso de scripts Python disponibles públicamente para registrar automáticamente y cancelar instantáneamente cuentas premium LLM.
«Este proceso destaca las técnicas que utilizan los atacantes para adquirir capacidades de IA de alto nivel a escala y al mismo tiempo aislar la actividad maliciosa de las prohibiciones de cuentas», señaló GTIG.
«Los actores de amenazas ahora buscan acceso no identificado y de nivel premium a modelos a través de middleware especializado y canales de inscripción automática para eludir de manera fraudulenta las restricciones de uso. Esta infraestructura permite el abuso a gran escala del servicio al tiempo que subsidia las operaciones a través del abuso de prueba y la rotación programática de cuentas».
Otra actividad relacionada con China reportada por Google proviene de UNC5673 (también conocido como TEMP.Hex), que parece utilizar una variedad de herramientas comerciales disponibles públicamente y proyectos GitHub para facilitar la explotación escalable de LLM.
Este hallazgo se superpone con informes recientes sobre un próspero mercado gris de plataformas de retransmisión API que permiten a los desarrolladores locales en China obtener acceso no autorizado a Anthropic Claude y Gemini. Estas estaciones de retransmisión o transferencia dirigen el acceso a los modelos de IA a través de servidores proxy alojados fuera de China continental. El servicio se anuncia en los mercados chinos en línea Taobao y Xianyu.
En un estudio publicado en marzo de 2026, los académicos del Centro Helmholtz para la Seguridad de la Información CISPA descubrieron 17 API ocultas que afirman brindar acceso a servicios modelo oficiales sin restricciones geográficas a través de acceso indirecto. Las evaluaciones de desempeño de estos servicios revelaron evidencia de sustitución de modelos, exponiendo las aplicaciones de IA a riesgos de seguridad no deseados.
«En puntos de referencia médicos de alto riesgo como MedQA, la precisión del modelo flash Gemini-2.5 cayó drásticamente del 83,82% para la API oficial a aproximadamente el 37,00% en todas las API ocultas investigadas», dijeron los investigadores en su artículo.
Además, los servicios proxy pueden capturar cada mensaje y respuesta que pasa a través de un servidor, brindando a los operadores acceso no autorizado a un tesoro de datos que pueden usarse para ajustar modelos o destilar conocimiento ilegal.
En los últimos meses, los entornos de IA también se han convertido en un objetivo para adversarios como TeamPCP (también conocido como UNC6780), lo que expone a los desarrolladores a ataques a la cadena de suministro y permite a los atacantes penetrar más profundamente en las redes comprometidas para posteriores ataques.
«Por ejemplo, un actor de amenazas con acceso a los sistemas de inteligencia artificial de una organización podría aprovechar modelos y herramientas internos para identificar, recopilar y exfiltrar información confidencial a escala, o realizar tareas de reconocimiento para avanzar profundamente dentro de las redes», dijo Google. «Si bien el nivel de acceso y uso específico depende en gran medida de la organización y de las dependencias comprometidas específicas, este estudio de caso ilustra la omnipresencia de las amenazas de la cadena de suministro de software a los sistemas de IA».
Source link
