El equipo Google Threat Intelligence Group (GTIG) ha publicado un informe detallado que confirma un escenario que muchos especialistas en ciberseguridad anticipaban: los atacantes están utilizando de forma sistemática el modelo de lenguaje Google Gemini en operaciones reales, desde la fase de reconocimiento y la ingeniería social hasta el desarrollo de infraestructura maliciosa y la exfiltración de datos.
IA generativa y ciberataques: Gemini a lo largo de toda la cadena de ataque
Según GTIG, diferentes actores de amenazas emplean IA generativa para automatizar tareas que antes requerían tiempo y experiencia especializada. Gemini se utiliza para redactar correos de phishing más creíbles, asistir en la explotación de vulnerabilidades, optimizar scripts y diseñar flujos de ataque más eficientes. Este uso transversal en la cadena de ataque convierte a los Large Language Models (LLM) en un multiplicador de capacidad ofensiva.
Distilación masiva de modelos de lenguaje: una amenaza a la propiedad intelectual
Uno de los hallazgos más preocupantes del informe es la distilación masiva de LLM. GTIG detectó campañas en las que atacantes enviaron más de 100 000 prompts en múltiples idiomas a Gemini, recopilando sistemáticamente las respuestas para entrenar modelos propios que imitan su comportamiento.
La distilación de LLM es una técnica por la que una red neuronal más pequeña aprende a partir de las salidas de un modelo más potente, sin necesidad de acceder a sus datos de entrenamiento ni a su arquitectura interna. En la práctica, esto permite a actores maliciosos “copiar” capacidades avanzadas evitando las enormes inversiones en I+D, cómputo y talento que requieren los modelos de frontera.
El resultado son modelos derivados que pueden replicar parcialmente la lógica del modelo original, desplegarse sin las salvaguardas de seguridad del proveedor y utilizarse de forma autónoma para generar código malicioso, campañas de phishing o técnicas de evasión, sin supervisión ni controles.
Grupos APT y uso ofensivo de Google Gemini en operaciones estatales
GTIG vincula el abuso de Gemini a grupos APT respaldados por estados de China, Irán, Corea del Norte y Rusia. Entre ellos se mencionan, entre otros, las amenazas chino APT31 (Temp.HEX), la iraní APT42 y la norcoreana UNC2970, que ya integran la IA generativa en su arsenal.
APT chinos: automatización del análisis de vulnerabilidades y Hexstrike MCP
Investigadores de Google documentan cómo actores alineados con el ecosistema chino se hicieron pasar por analistas de seguridad para pedir a Gemini la automatización del análisis de vulnerabilidades y la creación de planes de pruebas dirigidos contra sistemas concretos.
En algunos casos, estos grupos experimentaron con el framework Hexstrike MCP, solicitando ayuda para examinar escenarios de Remote Code Execution (RCE), identificar técnicas de WAF bypass y analizar resultados de SQL injection contra objetivos estadounidenses específicos. La IA se convierte así en un asistente técnico que acelera el proceso de descubrimiento y explotación.
APT42 (Irán): ingeniería social y desarrollo rápido de malware
La APT42, asociada a Irán, utilizó LLM como plataforma de desarrollo acelerado de herramientas maliciosas. Según GTIG, Gemini fue empleado para redactar correos de phishing altamente verosímiles, diseñar guiones de ingeniería social, generar y depurar código, e integrar técnicas de explotación en su propio tooling ofensivo.
GTIG señala igualmente que actores norcoreanos y rusos aprovechan Gemini para tareas de reconocimiento de objetivos, diseño de infraestructura de mando y control (C2) y optimización de procesos de robo y filtrado de información.
IA generativa en el desarrollo de malware: casos CoinBait y HonestCue
CoinBait: kit de phishing para criptomonedas con huellas de LLM
Uno de los ejemplos analizados es CoinBait, un phishing kit desarrollado como single-page application en React, que se hace pasar por un exchange de criptomonedas legítimo para robar credenciales.
En el código de CoinBait se han identificado indicios claros de generación mediante IA, incluyendo mensajes de log con el prefijo “Analytics:” y otros patrones típicos de código asistido por modelos de lenguaje. Además, el uso de componentes como Lovable Supabase client y referencias a lovable.app apuntan al empleo de plataformas de desarrollo basadas en IA, como Lovable AI.
HonestCue: cargador PoC que genera la segunda fase con Gemini API
Otro caso descrito es HonestCue, un cargador conceptual (proof of concept) integrado con la Gemini API que genera dinámicamente código en C# para la segunda fase de infección.
El flujo de HonestCue incluye la petición a Gemini de un módulo C# de segunda etapa, su compilación en tiempo de ejecución y la ejecución de la carga útil directamente en memoria. Estas técnicas fileless dificultan notablemente la detección por soluciones antivirus tradicionales y muchas plataformas EDR.
Respuesta de Google y lecciones clave para la seguridad de la IA
Google afirma haber bloqueado las cuentas y la infraestructura asociadas a los atacantes identificados, además de reforzar sus defensas mediante nuevos clasificadores, políticas de filtrado de prompts y respuestas, y sistemas de detección de actividad anómala, incluyendo intentos de distilación a gran escala.
El caso de Gemini ilustra una tendencia estructural: la IA generativa es ya un recurso tanto defensivo como ofensivo. Las organizaciones necesitan actualizar sus modelos de amenaza para incluir escenarios de abuso de LLM, establecer políticas corporativas de uso seguro de servicios de IA, monitorizar patrones inusuales en el consumo de API de modelos de lenguaje y reforzar la formación del personal frente al phishing y la ingeniería social potenciados por IA.
A medida que los LLM se consolidan como herramienta estándar en procesos de negocio, la seguridad de la IA —incluyendo protección frente a distilación, fuga de conocimiento y uso indebido— debe tratarse al mismo nivel que la seguridad de redes, endpoints y aplicaciones. Invertir hoy en la protección de la infraestructura de IA y en la gobernanza de su uso reducirá de forma directa la exposición a las nuevas generaciones de ciberataques impulsados por modelos de lenguaje.
