Google advierte sobre malware impulsado por IA dirigido a usuarios de criptomonedas

Los actores de amenazas, incluidos aquellos con vínculos con Corea del Norte, están utilizando malware habilitado para IA que se reescribe en tiempo real para apuntar a los usuarios de criptomonedas, según una advertencia emitida esta semana por Google.

"Los actores de amenazas asociados con la República Popular Democrática de Corea (RPDC) continúan haciendo un mal uso de las herramientas de IA generativa para respaldar las operaciones en las etapas del ciclo de vida del ataque, alineados con sus esfuerzos para apuntar a las criptomonedas y brindar apoyo financiero al régimen", escribió Google Threat Intelligence Group en un informe reciente.

El malware impulsado por IA plantea nuevos riesgos para los usuarios de criptomonedas

Google ha rastreado al menos cinco familias de malware distintas que pueden "generar dinámicamente scripts maliciosos, ofuscar su propio código para evadir la detección", utilizando grandes modelos de lenguaje como Gemini y Qwen2.5-Coder durante la ejecución.

El malware habilitado para IA es la nueva frontera en los ataques cibernéticos y presenta una escalada importante con respecto a los enfoques anteriores, donde las funciones maliciosas generalmente se codificaban directamente en el propio malware.

La nueva cepa de malware puede esencialmente reescribir y adaptar su código sobre la marcha, lo que hace que sea significativamente más difícil de detectar y mitigar utilizando herramientas de seguridad tradicionales.

Google destacó específicamente dos familias de malware, PROMPTFLUX y PROMPTSTEAL, que integran grandes modelos de lenguaje directamente en sus operaciones para regenerar código, evadir el software antivirus y ejecutar comandos a nivel de sistema en tiempo real.

PROMPTFLUX es un dropper experimental que utiliza la API de Gemini para reescribir continuamente su código VBScript, lo que le permite actualizar sus tácticas de ofuscación y pasar por alto las herramientas de seguridad.

Mientras que PROMPTSTEAL, un minero de datos, aprovecha el modelo Qwen alojado en Hugging Face para generar comandos de Windows bajo demanda para recopilar archivos e información del sistema.

PROMPTSTEAL se ha asociado directamente con el grupo APT28 de Rusia y ya se ha desplegado en operaciones en vivo.

Los usuarios de criptomonedas también están en riesgo, ya que el grupo vinculado a Corea del Norte UNC1069, también conocido como Masan, ha estado utilizando Gemini "para investigar conceptos de criptomonedas y realizar investigaciones y reconocimientos relacionados con la ubicación de los datos de las aplicaciones wallet criptomonedas de los usuarios".

Según Google, el grupo fue más allá al elaborar mensajes de phishing multilingües e intentar desarrollar un código que suplantaba actualizaciones de software para robar credenciales y extraer activos digitales.

Los actores de amenazas, incluidos los atacantes vinculados a la RPDC, también han utilizado herramientas impulsadas por IA para generar imágenes y videos deepfake haciéndose pasar por personas en la industria de las criptomonedas como parte de campañas de ingeniería social destinadas a distribuir malware y obtener acceso a los sistemas objetivo.

Google dijo que ya había desactivado las cuentas vinculadas a estas actividades, pero los riesgos aún persisten, ya que los atacantes pueden usar IA para generar scripts de exfiltración a medida, señuelos de phishing y comandos del sistema que podrían apuntar a plataformas criptográficas y sus usuarios con mucha mayor precisión que antes.

Intentos anteriores de apuntar a usuarios de criptomonedas usando malware

Desde el inicio de la industria de las criptomonedas, los atacantes han utilizado varios vectores de ataque creativos para explotar vulnerabilidades en plataformas, usuarios e infraestructura.

El mes pasado, en un informe separado, Google identificó otra cepa de malware denominada EtherHiding que los atacantes vinculados a Corea del Norte estaban impulsando a través de contratos inteligentes de blockchain en Ethereum y BNB Smart Chain para entregar cargas útiles maliciosas de forma encubierta.

A principios de este año, Kaspersky señaló otra operación de malware a gran escala que abusó de la plataforma de software SourceForge para distribuir malware dirigido a criptomonedas disfrazado de complementos falsos de Microsoft Office y logró infiltrarse en más de 4.600 dispositivos, principalmente en Rusia.