La adopción de modelos de lenguaje por parte de actores maliciosos está pasando de la prueba de concepto a la ejecución operativa. Investigadores de Google Threat Intelligence Group (GTIG) alertan de un cambio cualitativo: el uso de IA integrada directamente en el código del malware para reescribir y mutar componentes en tiempo de ejecución, dificultando la detección y acelerando los ciclos de evasión.
Nuevo vector de amenaza: malware auto‑modificable asistido por LLM
El caso de estudio es PromptFlux, un dropper en VBScript que persiste en el arranque de Windows, se propaga por unidades extraíbles y recursos compartidos, e integra llamadas al API de Gemini. A diferencia del polimorfismo clásico —donde cambia el empaquetado u ofuscación—, PromptFlux apunta al metamorfismo: altera la estructura del propio código durante la ejecución para romper firmas y entorpecer el análisis estático.
Thinking Robot: consultas periódicas de evasión antimalware
Su módulo más novedoso, Thinking Robot, ejecuta consultas recurrentes a Gemini para obtener técnicas de evasión y variaciones de ofuscación. Los prompts están formalizados y orientados a generar variantes significativamente distintas entre iteraciones, acercando el diseño a un script metamorfo. Este enfoque complica la detección basada en firmas y plantillas, y se alinea con tácticas descritas en ATT&CK como T1027 (Ofuscación) y T1059 (Intérpretes de scripts).
Atribución y respuesta de Google
GTIG considera que PromptFlux está en fase temprana y con capacidades limitadas, pero ilustra con claridad la dirección del ecosistema criminal. Google ha revocado el acceso al API de Gemini utilizado por el ejemplar y desmontado la infraestructura asociada. No hay atribución concluyente a una amenaza persistente avanzada (APT) concreta.
Abuso de IA en operaciones reales: casos documentados
Más allá de prototipos, GTIG detalla uso operativo de IA por varios grupos. La APT41 habría empleado modelos para reforzar su C2 OSSTUN y seleccionar bibliotecas de ofuscación. Otra célula china se hizo pasar por participante de CTF para sortear filtros de LLM y obtener detalles técnicos de explotación.
La facción iraní MuddyCoast (UNC3313) se hizo pasar por estudiante y usó Gemini para desarrollar y depurar malware, exponiendo de forma inadvertida servidores de mando y claves. APT42 generó señuelos de phishing y un “agente de datos” que convierte lenguaje natural en consultas SQL para recolectar información personal.
En el frente norcoreano, Masan (UNC1069) aprovechó Gemini en esquemas de robo de criptomonedas, phishing multilingüe y deepfakes; Pukchong (UNC4899) lo usó para preparar exploits contra dispositivos perimetrales y navegadores. Google bloqueó las cuentas vinculadas y reforzó las salvaguardas de modelo en todos los casos.
LLM clandestinos y el “mercado de productividad” para atacar
GTIG observa una expansión de servicios de IA criminales en foros anglo y rusoparlantes: desde generadores de deepfakes hasta kits para malware, phishing y explotación. Replican el marketing de plataformas legítimas —planes gratuitos, acceso por API, promesas de “eficiencia”—. Según GTIG, las restricciones en plataformas mainstream empujan a los atacantes hacia modelos sin salvaguardas, reduciendo la barrera de entrada para actores menos experimentados.
Implicaciones defensivas y prioridades de mitigación
La integración de LLM en el ciclo de desarrollo de amenazas acelera las iteraciones, diversifica variantes y abarata costes. Las defensas deben pivotar hacia telemetría y comportamiento: monitorizar tráfico saliente a endpoints de LLM/API, establecer control de integridad de scripts, aplicar listas blancas de autorun y bloquear escritura en medios extraíbles si no hay necesidad de negocio (vinculado a T1547 y T1091 en ATT&CK). La analítica conductual y EDR con visibilidad de script-blocking y auto-modificación son cruciales para detectar anomalías no firmables.
Asimismo, conviene potenciar un “defender’s AI” que ayude a correlacionar señales, analizar ofuscaciones y proponer contramedidas, junto con revisión de dependencias y transparencia en integraciones con LLM. La coordinación con proveedores de IA para aplicar bloqueos rápidos —como en el caso PromptFlux— limita la ventana de ataque.
El salto hacia malware impulsado por IA ya está en marcha. Invertir en detección basada en comportamiento, restringir privilegios de scripts, capacitar al personal y auditar el uso corporativo de LLM reduce la superficie de riesgo. Mantener colaboración estrecha con la industria y adoptar controles proactivos permitirá anticiparse a la próxima ola de variantes metamórficas.
