Una operación con motivación financiera cuyo nombre en código REF1695 Se ha observado que desde noviembre de 2023 se aprovechan instaladores falsos para implementar troyanos de acceso remoto (RAT) y mineros de criptomonedas.

«Más allá de la criptominería, el actor de amenazas monetiza las infecciones a través del fraude CPA (costo por acción), dirigiendo a las víctimas a páginas de contenido bajo la apariencia de registro de software», afirman los investigadores de Elastic Security Labs, Jia Yu Chan, Cyril François y Remco Sprooten. dicho en un análisis publicado esta semana.

También se ha descubierto que iteraciones recientes de la campaña entregan un implante .NET previamente no documentado con nombre en código CNB Bot. Estos ataques aprovechan un archivo ISO como vector de infección para entregar un cargador protegido por .NET Reactor y un archivo de texto con instrucciones explícitas para que el usuario evite las protecciones de Microsoft Defender SmartScreen contra la ejecución de aplicaciones no reconocidas haciendo clic en «Más información» y «Ejecutar de todos modos».

El cargador está diseñado para invocar PowerShell, que es responsable de configurar amplias exclusiones de Microsoft Defender Antivirus para pasar desapercibido e iniciar CNB Bot en segundo plano. Al mismo tiempo, al usuario se le muestra un mensaje de error: «No se puede iniciar la aplicación. Es posible que su sistema no cumpla con las especificaciones requeridas. Comuníquese con el soporte».

CNB Bot funciona como un cargador con capacidades para descargar y ejecutar cargas útiles adicionales, actualizarse, desinstalar y realizar acciones de limpieza para cubrir las pistas. Se comunica con un servidor de comando y control (C2) mediante solicitudes HTTP POST.

Otras campañas montadas por el actor de amenazas han aprovechado señuelos ISO similares para implementar PureRAT, PureMiner y un cargador XMRig personalizado basado en .NET, el último de los cuales llega a una URL codificada para extraer la configuración de minería y lanzar la carga útil del minero.

Como se observó recientemente en la campaña FAUX#ELEVATE, se abusa de «WinRing0x64.sys», un controlador de kernel de Windows legítimo, firmado y vulnerable, para obtener acceso al hardware a nivel de kernel y modificar la configuración de la CPU para aumentar las tasas de hash, permitiendo así mejorar el rendimiento. El uso del conductor ha sido observado en muchos campañas de criptojacking a lo largo de los años. La funcionalidad era agregado a los mineros XMRig en diciembre de 2019.

Elastic dijo que también identificó otra campaña que conduce al despliegue de SilentCryptoMiner. El minero, además de utilizar llamadas directas al sistema para evadir la detección, toma medidas para desactivar los modos de suspensión e hibernación de Windows, configura la persistencia mediante una tarea programada y utiliza el controlador «Winring0.sys» para ajustar la CPU para las operaciones de minería.

Otro componente notable del ataque es un proceso de vigilancia que garantiza que los artefactos maliciosos y los mecanismos de persistencia se restablezcan en caso de que se eliminen. Se estima que la campaña acumuló 27,88 XMR (9.392 dólares) en cuatro carteras rastreadas, lo que indica que la operación está generando beneficios financieros constantes para el atacante.

«Más allá de la infraestructura C2, el actor de amenazas abusa de GitHub como una CDN de entrega de carga útil, alojando binarios preparados en dos cuentas identificadas», dijo Elastic. «Esta técnica desplaza el paso de descarga y ejecución de la infraestructura controlada por el operador a una plataforma confiable, lo que reduce la fricción en la detección».

Una nueva campaña de robo de credenciales basada en malware, que los investigadores denominan «DeepLoad», ha estado infectando entornos de TI empresariales en el pasado.

en un informe publicado el lunes, los investigadores de IA de ReliaQuest, Thassanai McCabe y Andrew Currie, dicen que la característica más relevante de este ataque es la forma en que utiliza la inteligencia artificial y otras ingenierías “para derrotar los controles en los que confían la mayoría de las organizaciones, convirtiendo la acción de un usuario en un acceso persistente y de robo de credenciales”.

DeepLoad se entrega a las víctimas mediante técnicas de ingeniería social «QuickFix», como mensajes falsos del navegador o páginas de error. Si el usuario cae en la trampa, los desarrolladores de malware (o más probablemente sus herramientas de inteligencia artificial) se esfuerzan mucho en crear evasión de la tecnología de seguridad «en cada etapa» de la cadena de ataque.

El cargador «entierra el código funcional bajo miles de asignaciones de variables sin sentido» y la carga útil se ejecuta detrás de un proceso de pantalla de bloqueo de Windows que es «pasado por alto por las herramientas de seguridad» que monitorean las amenazas. ReliaQuest dijo que «el gran volumen» de relleno de código probablemente descarta la participación únicamente humana.

«Evaluamos con gran confianza que se utilizó IA para construir esta capa de ofuscación», escriben McCabe y Currie. «Si es así, las organizaciones deberían esperar actualizaciones frecuentes del malware y menos tiempo para adaptar la cobertura de detección entre oleadas».

DeepLoad puede robar credenciales mediante el registro de teclas en tiempo real, e incluso si los equipos de seguridad bloquean el cargador inicial, pudo persistir a través de contingencias de respaldo.

«En los incidentes que investigamos, el cargador se propagó a las unidades USB conectadas, lo que significa que es poco probable que el host inicial sea el único sistema afectado», escribieron McCabe y Currie. «Incluso después de la limpieza, un mecanismo de persistencia oculto no abordado por los flujos de trabajo de remediación estándar volvió a ejecutar el ataque tres días después».

La investigación de ReliaQuest ofrece más evidencia de que durante el año pasado, algunas prácticas tradicionales de ciberseguridad estática, como la búsqueda de firmas de malware o patrones basados ​​en archivos, pueden volverse obsoletas rápidamente, ya que los modelos de IA pueden generar infinitas variaciones de herramientas de ataque con firmas únicas.

Otras organizaciones como Google y Anthropic han estado haciendo sonar la alarma de que los ciberataques mejorados por IA están reduciendo drásticamente el tiempo que los defensores deben responder a un compromiso.

En la Conferencia RSA celebrada este año en San Francisco, los expertos dijeron a CyberScoop que los próximos dos años serán una “tormenta perfecta” que favorecerá las ofensivas impulsadas por la IA, en la que los ciberdelincuentes y los Estados-nación adaptarán más rápidamente la tecnología para añadir mayor velocidad y escala a sus ataques que sus homólogos defensivos.

McCabe y Currie dicen que el probable uso continuo de la IA para frustrar el seguimiento del análisis estático significa que los defensores tendrán que cambiar su atención hacia otros indicadores de compromiso.

«Según lo que hemos observado, las organizaciones deben priorizar la detección de comportamiento en tiempo de ejecución, no el escaneo basado en archivos, para detectar esta campaña (y otras similares) temprano», escribieron.

Los navegadores web agentes que aprovechan las capacidades de inteligencia artificial (IA) para ejecutar acciones de forma autónoma en múltiples sitios web en nombre de un usuario podrían ser entrenados y engañados para que sean víctimas de trampas de phishing y estafas.

El ataque, en esencia, aprovecha la tendencia de los navegadores de IA a razonar sus acciones y usarlo contra el modelo mismo para reducir sus barreras de seguridad, Guardio dicho en un informe compartido con The Hacker News antes de su publicación.

«La IA ahora opera en tiempo real, dentro de páginas dinámicas y desordenadas, mientras solicita información continuamente, toma decisiones y narra sus acciones a lo largo del camino. Bueno, ‘narrar’ es un eufemismo: habla, ¡y demasiado!», dijo el investigador de seguridad Shaked Chen.

«Esto es lo que llamamos Parloteo agente: el navegador AI expone lo que ve, lo que cree que está sucediendo, lo que planea hacer a continuación y qué señales considera sospechosas o seguras».

Interceptando este tráfico entre el navegador y los servicios de IA que se ejecutan en los servidores del proveedor y alimentándolo como entrada a una Red Generativa Adversaria (Ganar), Guardio dijo que pudo hacer que el navegador Comet AI de Perplexity fuera víctima de una estafa de phishing en menos de cuatro minutos.

La investigación se basa en técnicas anteriores como VibeScamming y Scamlexity, que descubrieron que las plataformas de codificación de vibraciones y los navegadores de IA podían ser persuadidos para generar páginas fraudulentas o llevar a cabo acciones maliciosas mediante inyecciones de mensajes ocultos. En otras palabras, cuando el agente de IA maneja las tareas sin supervisión humana constante, surge un cambio en la superficie de ataque en el que una estafa ya no tiene que engañar al usuario. Más bien, pretende engañar al propio modelo de IA.

«Si puedes observar lo que el agente considera sospechoso, lo que duda y, lo que es más importante, lo que piensa y parlotea sobre la página, puedes usarlo como señal de entrenamiento», explicó Chen. «La estafa evoluciona hasta que AI Browser cae de manera confiable en la trampa que otra IA le tendió».

La idea, en pocas palabras, es construir una «máquina de estafa» que optimice y regenere de forma iterativa una página de phishing hasta que el navegador agente deje de quejarse y proceda a llevar a cabo las órdenes del actor de la amenaza, como ingresar las credenciales de la víctima en una página web falsa diseñada para llevar a cabo una estafa de reembolso.

Lo que hace que este ataque sea interesante y peligroso es que una vez que el estafador itera en una página web hasta que funciona contra un navegador de IA específico, funciona en todos los usuarios que dependen del mismo agente. Dicho de otra manera, el objetivo ha pasado del usuario humano al navegador de IA.

«Esto revela el desafortunado futuro cercano al que nos enfrentamos: las estafas no sólo se lanzarán y ajustarán en la naturaleza, sino que se entrenarán fuera de línea, según el modelo exacto en el que confían millones de personas, hasta que funcionen perfectamente en el primer contacto», dijo Guardio. «Porque cuando su navegador AI explica por qué se detuvo, les enseña a los atacantes cómo evitarlo».

La divulgación se produce como Trail of Bits. demostrado cuatro técnicas de inyección rápida contra el navegador Comet para extraer información privada de los usuarios de servicios como Gmail explotando el asistente de inteligencia artificial del navegador y extrayendo los datos al servidor de un atacante cuando el usuario solicita resumir una página web bajo su control.

La semana pasada, Zenity Labs también detalló dos ataques sin clic que afectan al cometa de Perplexity y que utilizan una inyección indirecta de avisos sembrada en invitaciones a reuniones para exfiltrar archivos locales a un servidor externo (también conocido como PerplejoCometa) o secuestrar la cuenta 1Password de un usuario si el extensión del administrador de contraseñas está instalado y desbloqueado. Los problemas, denominados colectivamente PerplexedBrowser, han sido abordados desde entonces por la empresa de inteligencia artificial.

Esto se logra mediante una técnica de inyección rápida conocida como colisión de intenciones, que ocurre «cuando el agente fusiona una solicitud de usuario benigna con instrucciones controladas por un atacante a partir de datos web no confiables en un único plan de ejecución, sin una forma confiable de distinguir entre los dos», dijo el investigador de seguridad Stav Cohen.

Los ataques de inyección rápida siguen siendo un desafío de seguridad fundamental para los modelos de lenguajes grandes (LLM) y para su integración en los flujos de trabajo organizacionales, en gran parte porque eliminar por completo estas vulnerabilidades puede no ser factible. En diciembre de 2025, OpenAI señaló que es «poco probable que» tales debilidades se resuelvan por completo en los navegadores agentes, aunque los riesgos asociados podrían reducirse mediante el descubrimiento automatizado de ataques, el entrenamiento de adversarios y nuevas salvaguardas a nivel del sistema.

Los investigadores han descubierto múltiples vulnerabilidades que permiten a los atacantes secuestrar silenciosamente navegadores de IA agentes.

Investigadores de Zenity Labs descubierto Estas fallas, que afectaron a múltiples navegadores de IA, incluido Perplexity's Comet. Antes de ser parcheado, un atacante podría explotarlos a través de una invitación de calendario legítima, utilizando una inyección rápida para obligar al navegador de IA a actuar contra su usuario.

«Estos problemas no se dirigen a un solo error de aplicación», escribió Stav Cohen, investigador senior de seguridad de IA en Zenity Labs, en un blog publicado el martes. «Explotan el modelo de ejecución y los límites de confianza de los agentes de IA, lo que permite que el contenido controlado por el atacante desencadene un comportamiento autónomo entre herramientas y flujos de trabajo conectados».

Los ataques de inyección rápida y secuestro de IA funcionan porque muchos navegadores agentes no pueden diferenciar entre las instrucciones dadas por los usuarios y cualquier contenido externo que ingieran. Básicamente, cualquier página web o correo electrónico que encuentre el navegador, si está redactado de la manera correcta, podría interpretarse como una instrucción rápida y sencilla.

Al incluir mensajes maliciosos en la invitación del calendario, el navegador puede ser dirigido para acceder a sistemas de archivos locales, explorar directorios, abrir y leer archivos y filtrar datos a un servidor de terceros. No se requiere malware ni acceso especial, sólo que el usuario acepte la invitación para que el navegador realice «cada paso como parte de lo que cree que es una tarea legítima delegada por el usuario».

«Comet sigue su modelo de ejecución normal y opera dentro de las capacidades previstas», escribió Cohen. «El agente está convencido de que lo que el usuario realmente pidió es lo que desea el atacante».

El daño potencial no termina ahí. Otro vulnerabilidad permitió a un atacante utilizar técnicas de solicitud indirectas similares para que Comet se hiciera cargo del administrador de contraseñas de un usuario. Si un usuario ya ha iniciado sesión en el servicio, el navegador agente también tiene acceso completo y puede cambiar silenciosamente configuraciones y contraseñas o extraer secretos mientras el usuario recibe resultados «benignos».

Según Zenity, las vulnerabilidades se informaron a Perplexity el año pasado y se publicó una solución en febrero de 2026.

Los ataques de inyección rápida siguen siendo uno de los mayores desafíos actuales para la integración de la IA en las pilas de tecnología de las organizaciones, porque eliminar estas fallas por completo puede ser imposible. : OpenAI dijo en diciembre que es «poco probable que» tales vulnerabilidades se resuelvan por completo en navegadores agentes, aunque la compañía dijo que los peligros generales podrían reducirse mediante el descubrimiento automatizado de ataques, entrenamiento de adversarios y nuevas «protecciones a nivel del sistema».

Cohen señala que con los navegadores tradicionales, el acceso a archivos locales y otras tareas confidenciales sólo se pueden obtener con el permiso explícito del usuario. Pero los navegadores agentes tienen mucha más autonomía para inferir si ese acceso es necesario para llevar a cabo la solicitud del usuario y tomar medidas sin la intervención del usuario. Si bien los investigadores utilizaron invitaciones de calendario para enviar mensajes maliciosos, la misma técnica se puede implementar en casi cualquier forma de contenido escrito.

«Una vez que se delega esa decisión, el acceso a recursos sensibles depende de la interpretación de la intención del agente en lugar de una acción explícita del usuario», escribió. «En ese momento, la separación entre la intención del usuario y la ejecución del agente se convierte en una preocupación crítica para la seguridad».

Los investigadores de ciberseguridad han revelado que los asistentes de inteligencia artificial (IA) que admiten la navegación web o las capacidades de recuperación de URL pueden convertirse en retransmisiones sigilosas de comando y control (C2), una técnica que podría permitir a los atacantes mezclarse con las comunicaciones empresariales legítimas y evadir la detección.

El método de ataque, que se ha demostrado contra Microsoft Copilot y xAI Grok, lleva el nombre en código IA como proxy C2 por Punto de control.

Aprovecha «el acceso web anónimo combinado con navegación y mensajes de resúmenes», dijo la compañía de ciberseguridad. «El mismo mecanismo también puede permitir operaciones de malware asistidas por IA, incluida la generación de flujos de trabajo de reconocimiento, secuencias de comandos de las acciones del atacante y decidir dinámicamente ‘qué hacer a continuación’ durante una intrusión».

El desarrollo señala otra evolución importante en la forma en que los actores de amenazas podrían abusar de los sistemas de inteligencia artificial, no solo para escalar o acelerar diferentes fases del ciclo de ciberataque, sino también aprovechar las API para generar dinámicamente código en tiempo de ejecución que pueda adaptar su comportamiento en función de la información recopilada del host comprometido y evadir la detección.

Las herramientas de IA ya actúan como multiplicador de fuerza para los adversarioslo que les permite delegar pasos clave en sus campañas, ya sea para realizar reconocimientos, escaneo de vulnerabilidades, elaborar correos electrónicos de phishing convincentes, crear identidades sintéticas, depurar código o desarrollar malware. Pero la IA como proxy C2 va un paso más allá.

Básicamente, aprovecha las capacidades de navegación web y recuperación de URL de Grok y Microsoft Copilot para recuperar URL controladas por el atacante y devolver respuestas a través de sus interfaces web, transformándolo esencialmente en un canal de comunicación bidireccional para aceptar comandos emitidos por el operador y canalizar los datos de la víctima.

En particular, todo esto funciona sin requerir una clave API o una cuenta registrada, lo que hace que los enfoques tradicionales como la revocación de clave o la suspensión de cuenta sean inútiles.

Visto de otra manera, este enfoque no es diferente de las campañas de ataque que han convertido en armas servicios confiables para la distribución de malware y C2. También se le conoce como vivir en sitios confiables (LOTS).

Sin embargo, para que todo esto suceda, existe un requisito previo clave: el actor de la amenaza ya debe haber comprometido una máquina por algún otro medio e instalado malware, que luego utiliza Copilot o Grok como canal C2 mediante indicaciones especialmente diseñadas que hacen que el agente de IA se comunique con la infraestructura controlada por el atacante y pase la respuesta que contiene el comando que se ejecutará en el host al malware.

Check Point también señaló que un atacante podría ir más allá de la generación de comandos para utilizar el agente de IA para diseñar una estrategia de evasión y determinar el siguiente curso de acción pasando detalles sobre el sistema y validando si vale la pena explotarlo.

«Una vez que los servicios de IA puedan usarse como una capa de transporte sigilosa, la misma interfaz también puede transmitir indicaciones y resultados de modelos que actúan como un motor de decisión externo, un trampolín hacia los implantes impulsados ​​por IA y C2 estilo AIOps que automatizan la clasificación, la selección de objetivos y las opciones operativas en tiempo real», afirmó Check Point.

La divulgación se produce semanas después de que la Unidad 42 de Palo Alto Networks demostrara una novedosa técnica de ataque en la que una página web aparentemente inocua se puede convertir en un sitio de phishing mediante el uso de llamadas API del lado del cliente a servicios confiables de modelo de lenguaje grande (LLM) para generar JavaScript malicioso dinámicamente en tiempo real.

El método es similar al reensamblaje de la última milla (LMR), que implica contrabandear malware a través de la red a través de canales no monitoreados como WebRTC y WebSocket, e insertarlos directamente en el navegador de la víctima, evitando efectivamente los controles de seguridad en el proceso.

«Los atacantes podrían utilizar indicaciones cuidadosamente diseñadas para eludir las barreras de seguridad de la IA, engañando al LLM para que devuelva fragmentos de código malicioso», afirman los investigadores de la Unidad 42 Shehroze Farooqi, Alex Starov, Diva-Oriane Marty y Billy Melicher. dicho. «Estos fragmentos se devuelven a través de la API del servicio LLM, luego se ensamblan y ejecutan en el navegador de la víctima en tiempo de ejecución, lo que da como resultado una página de phishing completamente funcional».