Google Threat Intelligence Group (GTIG) ha alertado del que considera que es el primer uso de la inteligencia artificial (IA) para desarrollar una vulnerabilidad de día cero, además de destacar el empleo de esta tecnología para explotar vulnerabilidades a gran escala, mejorar las capacidades de ofuscación y eludir las salvaguardias de los modelos de lenguaje grande (LLM).
La inteligencia artificial es una tecnología que permite a los cibercriinales personalizar y ajustar mejor las campañas maliciosas, para que sean más efectivas, pero también permite identificar vulnerabilidades y desarrollar 'exploits' con mayor rapidez y desarrollar 'malware' y herramientas que ayudan a ofuscar su actividad.
En este sentido, el informe 'AI Threat Tracker' recoge el uso que se está haciendo de la inteligencia artificial para impulsar ciberataques, que actualmente transita hacia la madurez, con la aplicación a escala industrial de modelos generativos.
Ejemplo de ello es la identificación del primer caso de una vulnerabilidad de día cero desarrolla con ayuda de una IA. GTIG ha destacado que se trata de la «primera evidencia» del uso «con éxito» de la IA en un caso así, aunque no descartan que existan otras operaciones sin identificar.
En concreto, identificaron «una vulnerabilidad de día cero implementada en un script de Python que permite al usuario evitar la autenticación de dos factores (2FA) en una popular herramienta de administración de sistemas basada en web y de código abierto».
Pese a que esta vulnerabilidad presenta «muchos indicios de uso de IA», los investigadores de GTIG descartan el uso de Gemini y de Mythos en su desarrollo. Informan, además, de que compartieron sus descubrimientos con la empresa responsable del servicio afectado, que pudo distribuir un parche y corregirla.
Uso extendido en la industria del cibercrimen
Por otra parte, el informe recoge el uso de la inteligencia artificial para impulsar ataques y explotar vulnerabilidades a gran escala, como se identificó en el caso de grupo de ciberdelincuentes norcoreano APT45.
La inteligencia artificial de agentes también se ha convertido en una herramienta para los cibercriminales. El informe de GTIG recoge la experimentación con agentes como OpenClaw y OneClaw en entornos de pruebas, con el objetivo de perfeccionar sus capacidades mediante la orquestación de ataques.
En concreto, se cita su uso para refinar las cargas útiles generadas con IA dentro de configuraciones controladas para aumentar la fiabilidad del 'exploit' antes de la implementación
Para mitigar este uso, el responsable de OpenClaw ha aliado con la española Virus Total para detectar programas maliciosos en su 'marketplace' mediante el escaner de las 'skills' que se publican en él.
Asimismo, los ciberdelincuentes usan la IA para crear infraestructuras y 'malware' más avanzados con mejores capacidades de ofuscación y evasión. En este caso, se destaca el grupo de ciberamenazas APT27 --vinculado a China-- que recurrió a Gemini para acelerar el desarrollo de una aplicación de gestión de flotas para respaldar la gestión de una red de cajas de retransmisión operativas (ORB) utilizando configuraciones de múltiples saltos.
Por su parte, los grupos de amenazas UNC6201 y UNC5673 han dirigido su actividad a la vulneración de los LLM con el objetivo de eludir las salvaguardias que impiden su uso malicioso y los métodos de pago para acceder a las capacidades más avanzadas y aprovecharlas en sus campañas.
El informe destaca otros usos de la IA, por ejemplo, para crear 'deepfakes' y emplearlos en campañas de desinformación, para perfeccionar el 'software' malicioso, y para sondear de manera persistente y autónoma las vulnerabilidades de empresas.
«Los ciberdelincuentes están utilizando la IA para aumentar la velocidad, la escala y la sofisticación de sus ataques» ya que esta tecnología «les permite probar sus operaciones, mantener la persistencia contra sus objetivos, crear mejor malware y lograr muchas otras mejoras», como ha explicado el analista jefe de GTIG, John Hultquist.