Anthropic acusó el lunes a tres laboratorios chinos de inteligencia artificial de intentar desviar sigilosamente las capacidades de Claude para sus propios modelos, potencialmente de una manera que podría impulsar operaciones cibernéticas ofensivas.

La startup estadounidense de inteligencia artificial dijo que los tres laboratorios, DeepSeek, Moonshot y MiniMax, realizaron “campañas a escala industrial” con una táctica conocida como “destilación”. Implica enviar solicitudes masivas a su modelo Claude en un intento por impulsar las suyas propias (en este caso, 16 millones en total). La destilación puede ser una práctica legítima como método de capacitación, dijo la compañía en una publicación de blogpero no cuando se utiliza como atajo para quitar capacidades a los competidores.

“Los modelos elaborados ilícitamente carecen de las salvaguardias necesarias, lo que crea importantes riesgos para la seguridad nacional”, argumentó Anthropic. “Los laboratorios extranjeros que destilan modelos estadounidenses pueden luego incorporar estas capacidades desprotegidas a sistemas militares, de inteligencia y de vigilancia, permitiendo a los gobiernos autoritarios desplegar IA de frontera para operaciones cibernéticas ofensivas, campañas de desinformación y vigilancia masiva”.

No es la primera vez que Anthropic advierte sobre las amenazas chinas derivadas del uso de Claude por parte de la nación. Y Anthropic combinó sus revelaciones sobre la campaña de destilación con repitiendo su llamada para controles más estrictos a las exportaciones.

OpenAI también tiene acusó a DeepSeek de utilizar técnicas de destilación. CyberScoop no pudo comunicarse de inmediato con los tres laboratorios chinos para comentar sobre las afirmaciones de Anthropic.

«Las tres campañas de destilación… siguieron un manual similar, utilizando cuentas fraudulentas y servicios de proxy para acceder a Claude a escala mientras evadían la detección», dijo Anthropic. «El volumen, la estructura y el enfoque de las indicaciones eran distintos de los patrones de uso normales, lo que reflejaba una extracción deliberada de capacidades en lugar de un uso legítimo».

En total, los laboratorios utilizaron 24.000 cuentas fraudulentas, dijo Anthropic. DeepSeek fue responsable de 150.000 de los intercambios, en comparación con 3,4 millones de Moonshot y 13 millones de MiniMax, según la startup. La actividad violó los términos de servicio y las restricciones de acceso regional, dijo.

Lo que hace que la táctica sea ilegítima es que esencialmente roba la propiedad intelectual, la potencia informática y el esfuerzo de Anthropic, dijo Gal Elbaz, cofundador y director de tecnología de Oligo Security, que se anuncia a sí misma como una empresa de seguridad de tiempo de ejecución de IA.

«Lo aterrador es que puedes tomar todo el poder y liberarlo, porque no tienes a nadie que realmente haga cumplir esas barreras en el otro lado», dijo Elbaz a CyberScoop sobre los temores que Anthropic generó sobre los laboratorios que alimentan los ciberataques.

Las propias empresas de IA se han enfrentado a acusaciones de que están robando datos e propiedad intelectual de otros para impulsar sus modelos.

Los ciberataques llegaron a las víctimas más rápido y provinieron de una gama más amplia de grupos de amenazas que nunca el año pasado, dijo CrowdStrike en su informe anual de amenazas globales publicado el martes, y agrega que los ciberdelincuentes y los estados-nación dependen cada vez más de tácticas predecibles para evadir la detección mediante la explotación de sistemas confiables.

El tiempo medio de ruptura (el tiempo que tardaron los atacantes con motivación financiera en pasar de la intrusión inicial a otros sistemas de red) se redujo a 29 minutos en 2025, un aumento del 65% en la velocidad con respecto al año anterior. «El tiempo de fuga más rápido hace un año fue de 51 segundos. Este año es de 27 segundos», dijo a CyberScoop Adam Meyers, jefe de operaciones de contraataque en CrowdStrike.

Los defensores se están quedando atrás porque los atacantes están perfeccionando sus técnicas, utilizando ingeniería social para acceder más rápido a sistemas con altos privilegios y moverse a través de la infraestructura de nube de las víctimas sin ser detectados.

«Los actores de amenazas están explotando esas brechas entre dominios para obtener acceso a los entornos, por lo que se están metiendo entre las costuras de la nube, la identidad, la empresa y los dispositivos de red no administrados», dijo Meyers.

Partiendo de una posición ya de por sí desventajosa, agravada por ataques más rápidos y técnicas de supervivencia, los defensores enfrentan agotamiento, estrés y otros factores que pueden conducir a errores, añadió.

Las innumerables fuentes de estos problemas también se están extendiendo.

CrowdStrike rastreó 281 grupos de amenazas a finales de 2025, incluidas 24 nuevas amenazas que nombró a lo largo del año. Los investigadores de la empresa de ciberseguridad también están rastreando 150 grupos activos de actividades maliciosas y grupos de amenazas emergentes.

Los ciberdelincuentes que buscan un pago y los estados nacionales que cometen espionaje o implantan puntos de apoyo en infraestructuras críticas para un acceso prolongado están aprovechando cada vez más las debilidades de seguridad en los entornos basados ​​en la nube para irrumpir en las redes de las víctimas.

Estos ataques centrados en la nube han experimentado un aumento interanual del 37%, con un aumento del 266% en esta actividad por parte de grupos de amenazas de estados-nación.

La gran mayoría de los ataques detectados el año pasado, el 82%, estaban libres de malware, lo que pone de relieve el cambio duradero de los atacantes hacia operaciones prácticas con el teclado y el abuso de herramientas y credenciales legítimas, afirmó CrowdStrike en el informe. Según CrowdStrike, más de 1 de cada 3 casos de respuesta a incidentes que involucraron intrusiones en la nube el año pasado estuvieron vinculados a una credencial válida o abusada que otorgó acceso a los atacantes.

Los ataques originados o patrocinados por Corea del Norte aumentaron un 130% el año pasado, mientras que los incidentes relacionados con China aumentaron un 38% durante el mismo período.

Los grupos de amenazas chinos lograron acceso inmediato al sistema con dos tercios de las vulnerabilidades que explotaron el año pasado, y el 40% de esas vulnerabilidades se dirigieron a dispositivos periféricos.

Los exploits de día cero (especialmente defectos en dispositivos periféricos como firewalls, enrutadores y redes privadas virtuales) permitieron que grupos de amenazas de cibercrimen y estados-nación ingresaran a los sistemas, ejecutaran códigos y escalaran privilegios sin ser detectados.

CrowdStrike dijo que observó un aumento interanual del 42% en la cantidad de vulnerabilidades de día cero explotadas antes de su divulgación pública el año pasado.

Meyers dijo que espera que ese número crezca aún más, prediciendo una explosión de actividad de atacantes que utilizan inteligencia artificial para encontrar y explotar vulnerabilidades de día cero en varios productos durante los próximos tres a nueve meses.

El informe anual sobre amenazas globales de CrowdStrike está lleno de cifras que van en la dirección equivocada, pero el hallazgo más preocupante para Meyers se reduce a la velocidad de los atacantes.

«La velocidad a la que estamos viendo acelerar estos tiempos de fuga es uno de los marcadores», dijo, y agregó que es sólo cuestión de tiempo antes de que los ataques más rápidos bajen a segundos, si no milisegundos.

Un funcionario encargado de hacer cumplir la ley chino intentó utilizar ChatGPT para revisar sus informes sobre operaciones cibernéticas, y posteriormente reveló detalles de una campaña mundial de acoso y silenciamiento en línea de los críticos de China en el país y en el extranjero.

En una nueva amenaza informe Publicado el miércoles, OpenAI dijo que la actividad se refería a una sola cuenta que usaba regularmente ChatGPT para revisar y editar informes sobre «operaciones cibernéticas especiales». Esa misma cuenta también intentó utilizar ChatGPT para planificar una campaña de propaganda contra el primer ministro japonés Sanae Takaichi. Cuando la modelo se negó, el actor regresó semanas después con indicaciones que indicaban que la operación había procedido de todos modos.

Los informes subidos a ChatGPT «sugirieron que los actores de amenazas habían llevado a cabo muchas otras operaciones anteriores, en un esfuerzo integral para reprimir la disidencia y silenciar a los críticos tanto en línea como fuera de línea, en el país y en el extranjero», decía el informe.

Si bien solo hay evidencia de una sola cuenta utilizada por la agencia, OpenAI dijo que las operaciones dirigidas a los críticos chinos descritas en el informe parecen «a gran escala, requieren muchos recursos y son sostenidas», y consisten en cientos de personal humano, miles de cuentas falsas en diferentes plataformas de redes sociales y el uso de modelos locales de inteligencia artificial chinos.

Estas operaciones incluyeron publicaciones masivas y generación de contenido, inundando empresas de redes sociales con quejas falsas sobre cuentas propiedad de disidentes, falsificación de documentos y, en algunos casos, incluso haciéndose pasar por funcionarios estadounidenses para intimidar.

Una campaña separada que involucraba un grupo de cuentas que «probablemente se originaron» en China continental solicitó a ChatGPT información sobre «personas, foros y ubicaciones de edificios federales estadounidenses».

Las cuentas también generaron borradores de correo electrónico supuestamente de una empresa llamada Nimbus Hub Consulting con sede en Hong Kong, pero el informe de OpenAI señala que las cuentas utilizaron VPN y solicitaron que el modelo utilizara caracteres del idioma chino simplificado, que se asocia más comúnmente con China continental.

OpenAI dijo que, cuando se le preguntó sobre las entidades estadounidenses, ChatGPT también proporcionó fuentes de información «disponibles públicamente» sobre las ubicaciones de las oficinas del gobierno federal de los EE. UU., la distribución de empleados federales por estado, foros profesionales y sitios web de empleo en las industrias económica y financiera de los EE. UU.

Los actores chinos generaron correos electrónicos en inglés para funcionarios estatales estadounidenses y analistas de políticas comerciales y financieras, invitándolos a unirse a consultas pagadas y ofrecer asesoramiento estratégico a los clientes de los actores.

Estos correos electrónicos frecuentemente buscarían trasladar la conversación a otra plataforma de videoconferencia, como WhatsApp, Zoom o Teams. Una de las cuentas subió sus especificaciones de hardware y solicitó instrucciones no técnicas paso a paso para instalar un software de intercambio de rostros en tiempo real llamado FaceFusion.

«El modelo respondió con información extraída del sitio web y la documentación disponibles públicamente de FaceFusion», dijo OpenAI.

No hay evidencia de ciberataques automatizados

El informe se centró principalmente en cómo los ciberdelincuentes y los actores estatales utilizaron ChatGPT para respaldar estafas e influir en las operaciones. OpenAI detalló cuatro operaciones de información encubierta y tres operaciones de estafa romántica. Además de las operaciones de influencia chinas, también informó sobre el contenido de propaganda generado para Rybar, un grupo de influencia en línea alineado con Rusia.

El informe de OpenAI detalla cómo algunos operadores utilizaron ChatGPT para automatizar tareas aisladas, como una estafa romántica camboyana que combinaba operadores humanos y de IA al comunicarse con las víctimas. El informe no citó ningún caso de actores de amenazas que utilicen ChatGPT para operaciones de piratería ofensiva directa.

Las herramientas de inteligencia artificial pueden brindar a actores legítimos y maliciosos acceso a una velocidad y escala tremendas en línea. Durante el año pasado, los piratas informáticos chinos habrían utilizado al menos otro modelo de inteligencia artificial fabricado en Estados Unidos para realizar ciberataques altamente automatizados contra empresas y gobiernos.

Durante una sesión de preguntas y respuestas con los medios, un funcionario de OpenAI dijo que no tenía conocimiento de ningún caso en el que los actores de amenazas usaran ChatGPT para llevar a cabo ataques automatizados, pero agregó que la compañía tiene múltiples investigaciones en curso que no han concluido.

Gran parte de la actividad observada en el informe de OpenAI sigue un patrón común, detallando a los actores de amenazas que todavía están en pleno proceso de experimentar con la tecnología de IA y aprender dónde proporciona el mayor valor en su cadena de operaciones.

Algunos lo utilizaron para generar contenido propagandístico en torno a un objetivo específico, monitorear plataformas de redes sociales o proporcionar una mejor traducción de idiomas para señuelos de phishing. Pero de manera similar a lo que informó Google a principios de este mes, en la mayoría de los casos los actores de amenazas están utilizando la IA de manera limitada y específica como amplificador de las operaciones existentes.

En algunos casos, está claro que ChatGPT es una de las múltiples herramientas de inteligencia artificial que utiliza el actor de amenazas. En el caso de la agencia policial china, Los informes de estado cargados en el modelo sobre operaciones de información hacen referencia al uso de modelos de IA chinos implementados localmente como DeepSeek, y es probable que el grupo haya utilizado un modelo diferente para prepararse para su campaña de propaganda contra Taikaichi.

«La actividad de amenazas rara vez se limita a una plataforma; como muestra nuestro informe… muestra, no siempre se limita a un modelo de IA», dice el informe. «Más bien, los actores de amenazas pueden utilizar diferentes modelos de IA en distintos puntos de su flujo de trabajo operativo».

Un funcionario encargado de hacer cumplir la ley chino intentó utilizar ChatGPT para revisar sus informes sobre operaciones cibernéticas, y posteriormente reveló detalles de una campaña mundial de acoso y silenciamiento en línea de los críticos de China en el país y en el extranjero.

En una nueva amenaza informe Publicado el miércoles, OpenAI dijo que la actividad se refería a una sola cuenta que usaba regularmente ChatGPT para revisar y editar informes sobre «operaciones cibernéticas especiales». Esa misma cuenta también intentó utilizar ChatGPT para planificar una campaña de propaganda contra el primer ministro japonés Sanae Takaichi. Cuando la modelo se negó, el actor regresó semanas después con indicaciones que indicaban que la operación había procedido de todos modos.

Los informes subidos a ChatGPT «sugirieron que los actores de amenazas habían llevado a cabo muchas otras operaciones anteriores, en un esfuerzo integral para reprimir la disidencia y silenciar a los críticos tanto en línea como fuera de línea, en el país y en el extranjero», decía el informe.

Si bien solo hay evidencia de una sola cuenta utilizada por la agencia, OpenAI dijo que las operaciones dirigidas a los críticos chinos descritas en el informe parecen «a gran escala, requieren muchos recursos y son sostenidas», y consisten en cientos de personal humano, miles de cuentas falsas en diferentes plataformas de redes sociales y el uso de modelos locales de inteligencia artificial chinos.

Estas operaciones incluyeron publicaciones masivas y generación de contenido, inundando empresas de redes sociales con quejas falsas sobre cuentas propiedad de disidentes, falsificación de documentos y, en algunos casos, incluso haciéndose pasar por funcionarios estadounidenses para intimidar.

Una campaña separada que involucraba un grupo de cuentas que «probablemente se originaron» en China continental solicitó a ChatGPT información sobre «personas, foros y ubicaciones de edificios federales estadounidenses».

Las cuentas también generaron borradores de correo electrónico supuestamente de una empresa llamada Nimbus Hub Consulting con sede en Hong Kong, pero el informe de OpenAI señala que las cuentas utilizaron VPN y solicitaron que el modelo utilizara caracteres del idioma chino simplificado, que se asocia más comúnmente con China continental.

OpenAI dijo que, cuando se le preguntó sobre las entidades estadounidenses, ChatGPT también proporcionó fuentes de información «disponibles públicamente» sobre las ubicaciones de las oficinas del gobierno federal de los EE. UU., la distribución de empleados federales por estado, foros profesionales y sitios web de empleo en las industrias económica y financiera de los EE. UU.

Los actores chinos generaron correos electrónicos en inglés para funcionarios estatales estadounidenses y analistas de políticas comerciales y financieras, invitándolos a unirse a consultas pagadas y ofrecer asesoramiento estratégico a los clientes de los actores.

Estos correos electrónicos frecuentemente buscarían trasladar la conversación a otra plataforma de videoconferencia, como WhatsApp, Zoom o Teams. Una de las cuentas subió sus especificaciones de hardware y solicitó instrucciones no técnicas paso a paso para instalar un software de intercambio de rostros en tiempo real llamado FaceFusion.

«El modelo respondió con información extraída del sitio web y la documentación disponibles públicamente de FaceFusion», dijo OpenAI.

No hay evidencia de ciberataques automatizados

El informe se centró principalmente en cómo los ciberdelincuentes y los actores estatales utilizaron ChatGPT para respaldar estafas e influir en las operaciones. OpenAI detalló cuatro operaciones de información encubierta y tres operaciones de estafa romántica. Además de las operaciones de influencia chinas, también informó sobre el contenido de propaganda generado para Rybar, un grupo de influencia en línea alineado con Rusia.

El informe de OpenAI detalla cómo algunos operadores utilizaron ChatGPT para automatizar tareas aisladas, como una estafa romántica camboyana que combinaba operadores humanos y de IA al comunicarse con las víctimas. El informe no citó ningún caso de actores de amenazas que utilicen ChatGPT para operaciones de piratería ofensiva directa.

Las herramientas de inteligencia artificial pueden brindar a actores legítimos y maliciosos acceso a una velocidad y escala tremendas en línea. Durante el año pasado, los piratas informáticos chinos habrían utilizado al menos otro modelo de inteligencia artificial fabricado en Estados Unidos para realizar ciberataques altamente automatizados contra empresas y gobiernos.

Durante una sesión de preguntas y respuestas con los medios, un funcionario de OpenAI dijo que no tenía conocimiento de ningún caso en el que los actores de amenazas usaran ChatGPT para llevar a cabo ataques automatizados, pero agregó que la compañía tiene múltiples investigaciones en curso que no han concluido.

Gran parte de la actividad observada en el informe de OpenAI sigue un patrón común, detallando a los actores de amenazas que todavía están en pleno proceso de experimentar con la tecnología de IA y aprender dónde proporciona el mayor valor en su cadena de operaciones.

Algunos lo utilizaron para generar contenido propagandístico en torno a un objetivo específico, monitorear plataformas de redes sociales o proporcionar una mejor traducción de idiomas para señuelos de phishing. Pero de manera similar a lo que informó Google a principios de este mes, en la mayoría de los casos los actores de amenazas están utilizando la IA de manera limitada y específica como amplificador de las operaciones existentes.

En algunos casos, está claro que ChatGPT es una de las múltiples herramientas de inteligencia artificial que utiliza el actor de amenazas. En el caso de la agencia policial china, Los informes de estado cargados en el modelo sobre operaciones de información hacen referencia al uso de modelos de IA chinos implementados localmente como DeepSeek, y es probable que el grupo haya utilizado un modelo diferente para prepararse para su campaña de propaganda contra Taikaichi.

«La actividad de amenazas rara vez se limita a una plataforma; como muestra nuestro informe… muestra, no siempre se limita a un modelo de IA», dice el informe. «Más bien, los actores de amenazas pueden utilizar diferentes modelos de IA en distintos puntos de su flujo de trabajo operativo».

Los ataques a la nube se mueven rápido, más rápido que la mayoría de los equipos de respuesta a incidentes.

En los centros de datos, las investigaciones tuvieron tiempo. Los equipos podrían recopilar imágenes de disco, revisar registros y crear cronogramas a lo largo de días. En la nube, la infraestructura dura poco. Una instancia comprometida puede desaparecer en minutos. Las identidades rotan. Los registros caducan. La evidencia puede desaparecer incluso antes de que comience el análisis.

Análisis forense de la nube es fundamentalmente diferente de la medicina forense tradicional. Si las investigaciones todavía se basan en la unión manual de registros, los atacantes ya tienen la ventaja.

Regístrese: vea la ciencia forense contextual en acción ➜

Por qué falla la respuesta tradicional a incidentes en la nube

La mayoría de los equipos enfrentan el mismo problema: alertas sin contexto.

Es posible que detecte una llamada API sospechosa, un nuevo inicio de sesión de identidad o un acceso inusual a datos, pero la ruta de ataque completa sigue sin estar clara en todo el entorno.

Los atacantes utilizan esta brecha de visibilidad para moverse lateralmente, escalar privilegios y alcanzar activos críticos antes de que los socorristas puedan conectar la actividad.

Para investigar las infracciones de la nube de forma eficaz, son esenciales tres capacidades:

• Visibilidad a nivel de host: Vea lo que ocurrió dentro de las cargas de trabajo, no solo la actividad del plano de control.
• Mapeo de contexto: Comprenda cómo se conectan las identidades, las cargas de trabajo y los activos de datos.
• Captura de evidencia automatizada: Si la recopilación de pruebas comienza manualmente, comienza demasiado tarde.

Cómo se ve la ciencia forense de la nube moderna

En esta sesión de seminario web, usted vea cómo funciona la ciencia forense automatizada y consciente del contexto en investigaciones reales. En lugar de recopilar evidencia fragmentada, los incidentes se reconstruyen utilizando señales correlacionadas, como telemetría de carga de trabajo, actividad de identidad, operaciones API, movimiento de red y relaciones de activos.

Esto permite a los equipos reconstruir cronogramas de ataque completos en minutos, con un contexto ambiental completo.

Las investigaciones en la nube a menudo se estancan porque la evidencia se encuentra en sistemas desconectados. Los registros de identidad residen en una consola, la telemetría de cargas de trabajo en otra y las señales de red en otros lugares. Los analistas deben cambiar de herramienta solo para validar una única alerta, lo que ralentiza la respuesta y aumenta la posibilidad de pasar por alto el movimiento del atacante.

La ciencia forense de la nube moderna consolida estas señales en una capa de investigación unificada. Al correlacionar las acciones de identidad, el comportamiento de la carga de trabajo y la actividad del plano de control, los equipos obtienen una visibilidad clara de cómo se desarrolló una intrusión, no solo dónde se activaron las alertas.

Las investigaciones pasan de la revisión reactiva de registros a la reconstrucción estructurada de ataques. Los analistas pueden rastrear secuencias de acceso, movimiento e impacto con el contexto adjunto a cada paso.

El resultado es un alcance más rápido, una atribución más clara de las acciones de los atacantes y decisiones de reparación más seguras, sin depender de herramientas fragmentadas ni retrasos en la recopilación de pruebas.

Regístrese para el seminario web ➜

Únete a la sesión para ver cómo la ciencia forense sensible al contexto hace que las infracciones en la nube sean completamente visibles.

Los investigadores de ciberseguridad han revelado que los asistentes de inteligencia artificial (IA) que admiten la navegación web o las capacidades de recuperación de URL pueden convertirse en retransmisiones sigilosas de comando y control (C2), una técnica que podría permitir a los atacantes mezclarse con las comunicaciones empresariales legítimas y evadir la detección.

El método de ataque, que se ha demostrado contra Microsoft Copilot y xAI Grok, lleva el nombre en código IA como proxy C2 por Punto de control.

Aprovecha «el acceso web anónimo combinado con navegación y mensajes de resúmenes», dijo la compañía de ciberseguridad. «El mismo mecanismo también puede permitir operaciones de malware asistidas por IA, incluida la generación de flujos de trabajo de reconocimiento, secuencias de comandos de las acciones del atacante y decidir dinámicamente ‘qué hacer a continuación’ durante una intrusión».

El desarrollo señala otra evolución importante en la forma en que los actores de amenazas podrían abusar de los sistemas de inteligencia artificial, no solo para escalar o acelerar diferentes fases del ciclo de ciberataque, sino también aprovechar las API para generar dinámicamente código en tiempo de ejecución que pueda adaptar su comportamiento en función de la información recopilada del host comprometido y evadir la detección.

Las herramientas de IA ya actúan como multiplicador de fuerza para los adversarioslo que les permite delegar pasos clave en sus campañas, ya sea para realizar reconocimientos, escaneo de vulnerabilidades, elaborar correos electrónicos de phishing convincentes, crear identidades sintéticas, depurar código o desarrollar malware. Pero la IA como proxy C2 va un paso más allá.

Básicamente, aprovecha las capacidades de navegación web y recuperación de URL de Grok y Microsoft Copilot para recuperar URL controladas por el atacante y devolver respuestas a través de sus interfaces web, transformándolo esencialmente en un canal de comunicación bidireccional para aceptar comandos emitidos por el operador y canalizar los datos de la víctima.

En particular, todo esto funciona sin requerir una clave API o una cuenta registrada, lo que hace que los enfoques tradicionales como la revocación de clave o la suspensión de cuenta sean inútiles.

Visto de otra manera, este enfoque no es diferente de las campañas de ataque que han convertido en armas servicios confiables para la distribución de malware y C2. También se le conoce como vivir en sitios confiables (LOTS).

Sin embargo, para que todo esto suceda, existe un requisito previo clave: el actor de la amenaza ya debe haber comprometido una máquina por algún otro medio e instalado malware, que luego utiliza Copilot o Grok como canal C2 mediante indicaciones especialmente diseñadas que hacen que el agente de IA se comunique con la infraestructura controlada por el atacante y pase la respuesta que contiene el comando que se ejecutará en el host al malware.

Check Point también señaló que un atacante podría ir más allá de la generación de comandos para utilizar el agente de IA para diseñar una estrategia de evasión y determinar el siguiente curso de acción pasando detalles sobre el sistema y validando si vale la pena explotarlo.

«Una vez que los servicios de IA puedan usarse como una capa de transporte sigilosa, la misma interfaz también puede transmitir indicaciones y resultados de modelos que actúan como un motor de decisión externo, un trampolín hacia los implantes impulsados ​​por IA y C2 estilo AIOps que automatizan la clasificación, la selección de objetivos y las opciones operativas en tiempo real», afirmó Check Point.

La divulgación se produce semanas después de que la Unidad 42 de Palo Alto Networks demostrara una novedosa técnica de ataque en la que una página web aparentemente inocua se puede convertir en un sitio de phishing mediante el uso de llamadas API del lado del cliente a servicios confiables de modelo de lenguaje grande (LLM) para generar JavaScript malicioso dinámicamente en tiempo real.

El método es similar al reensamblaje de la última milla (LMR), que implica contrabandear malware a través de la red a través de canales no monitoreados como WebRTC y WebSocket, e insertarlos directamente en el navegador de la víctima, evitando efectivamente los controles de seguridad en el proceso.

«Los atacantes podrían utilizar indicaciones cuidadosamente diseñadas para eludir las barreras de seguridad de la IA, engañando al LLM para que devuelva fragmentos de código malicioso», afirman los investigadores de la Unidad 42 Shehroze Farooqi, Alex Starov, Diva-Oriane Marty y Billy Melicher. dicho. «Estos fragmentos se devuelven a través de la API del servicio LLM, luego se ensamblan y ejecutan en el navegador de la víctima en tiempo de ejecución, lo que da como resultado una página de phishing completamente funcional».

Una «campaña coordinada dirigida a desarrolladores» utiliza repositorios maliciosos disfrazados de evaluaciones técnicas y proyectos Next.js legítimos para engañar a las víctimas para que los ejecuten y establezcan un acceso persistente a las máquinas comprometidas.

«La actividad se alinea con un grupo más amplio de amenazas que utilizan señuelos con temas laborales para integrarse en los flujos de trabajo rutinarios de los desarrolladores y aumentar la probabilidad de ejecución de código», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho en un informe publicado esta semana.

El gigante tecnológico dijo que la campaña se caracteriza por el uso de múltiples puntos de entrada que conducen al mismo resultado, donde el JavaScript controlado por el atacante se recupera en tiempo de ejecución y se ejecuta para facilitar el comando y control (C2).

Los ataques se basan en que los actores de amenazas establezcan repositorios falsos en plataformas de desarrolladores confiables como Bitbucket, usando nombres como «Cryptan-Platform-MVP1» para engañar a los desarrolladores que buscan trabajos para que se ejecuten como parte de un proceso de evaluación.

Un análisis más profundo de los repositorios identificados ha descubierto tres rutas de ejecución distintas que, si bien se activan de diferentes maneras, tienen el objetivo final de ejecutar un JavaScript controlado por el atacante directamente en la memoria:

• Ejecución del espacio de trabajo de Visual Studio Codedonde los proyectos de Microsoft Visual Studio Code (VS Code) con configuración de automatización del espacio de trabajo se utilizan para ejecutar código malicioso recuperado de un dominio Vercel tan pronto como el desarrollador abre y confía en el proyecto. Esto implica el uso de runOn: «folderOpen» para configurar la tarea.
• Ejecución en tiempo de compilación durante el desarrollo de aplicacionesdonde se ejecuta manualmente el servidor de desarrollo a través de «npm ejecutar desarrollador» es suficiente para activar la ejecución de código malicioso incrustado en bibliotecas de JavaScript modificadas que se hacen pasar por jquery.min.js, lo que hace que busque un cargador de JavaScript alojado en Vercel. Luego, Node.js ejecuta la carga útil recuperada en la memoria.
• Ejecución de inicio del servidor mediante exfiltración del entorno y ejecución dinámica de código remotodonde el inicio del backend de la aplicación provoca que se ejecute una lógica de carga maliciosa oculta dentro de un módulo de backend o un archivo de ruta. El cargador transmite el entorno del proceso al servidor externo y ejecuta JavaScript recibido como respuesta en la memoria dentro del proceso del servidor Node.js.

Microsoft señaló que los tres métodos conducen a la misma carga útil de JavaScript que es responsable de crear perfiles del host y sondear periódicamente un punto final de registro para obtener un identificador «instanceId» único. Este identificador se proporciona posteriormente en encuestas de seguimiento para correlacionar la actividad.

También es capaz de ejecutar JavaScript proporcionado por el servidor en la memoria, lo que en última instancia allana el camino para un controlador de segunda etapa que convierte el punto de apoyo inicial en una vía de acceso persistente para recibir tareas contactando a un servidor C2 diferente y ejecutándolas en la memoria para minimizar dejar rastros en el disco.

Descripción general de la cadena de ataque

«El controlador mantiene la estabilidad y la continuidad de la sesión, publica telemetría de errores en un punto final de informes e incluye lógica de reintento para mayor resistencia», dijo Microsoft. «También rastrea los procesos generados y puede detener la actividad administrada y salir limpiamente cuando se le indique. Más allá de la ejecución de código bajo demanda, la Etapa 2 admite el descubrimiento y la exfiltración impulsados ​​por el operador».

Si bien el fabricante de Windows no atribuyó la actividad a un actor de amenaza específico, el uso de tareas de VS Code y dominios de Vercel para organizar malware es una táctica que ha sido adoptada por piratas informáticos vinculados a Corea del Norte asociados con una campaña de larga duración conocida como Contagious Interview.

El objetivo final de estos esfuerzos es obtener la capacidad de distribuir malware a los sistemas de los desarrolladores, que a menudo contienen datos confidenciales, como código fuente, secretos y credenciales, que pueden brindar oportunidades para profundizar en la red de destino.

Usar las esencias de GitHub en VS Code task.json en lugar de las URL de Vercel

En un informe publicado el miércoles, Abstract Security dicho ha observado un cambio en las tácticas de los actores de amenazas, en particular un aumento en los servidores de preparación alternativos utilizados en los comandos de tareas de VS Code en lugar de las URL de Vercel. Esto incluye el uso de scripts alojados en GitHub gists («gist.githubusercontent[.]com») para descargar y ejecutar cargas útiles de la siguiente etapa. Un enfoque alternativo emplea acortadores de URL como short[.]gy para ocultar las URL de Vercel.

La compañía de ciberseguridad dijo que también identificó un paquete npm malicioso vinculado a la campaña denominada «eslint-validator» que recupera y ejecuta una carga útil ofuscada desde una URL de Google Drive. La carga útil en cuestión es un conocido malware de JavaScript denominado BeaverTail.

Además, se ha descubierto que una tarea maliciosa de VS Code integrada en un repositorio de GitHub inicia una cadena de infección exclusiva de Windows que ejecuta un script por lotes para descargar el tiempo de ejecución de Node.js en el host (si no existe) y aprovecha el programa certutil para analizar un bloque de código contenido en el script. Luego, el script decodificado se ejecuta con el tiempo de ejecución de Node.js obtenido previamente para implementar un malware de Python protegido con PyArmor.

La empresa de ciberseguridad Red Asgard, que también ha sido extensamente rastreando el campaña, dicho Los actores de amenazas han aprovechado proyectos de código VS diseñados que utilizan el disparador runOn: «folderOpen» para implementar malware que, a su vez, consulta la cadena de bloques Polygon para recuperar JavaScript almacenado dentro de un contrato NFT para mejorar la resiliencia. La carga útil final es un ladrón de información que recopila credenciales y datos de navegadores web, billeteras de criptomonedas y administradores de contraseñas.

Distribución de la infraestructura de prueba utilizada por los actores de amenazas norcoreanos en 2025

«Esta campaña dirigida a desarrolladores muestra cómo un ‘proyecto de entrevista’ con tema de reclutamiento puede convertirse rápidamente en un camino confiable hacia la ejecución remota de código al integrarse en flujos de trabajo rutinarios de desarrolladores, como abrir un repositorio, ejecutar un servidor de desarrollo o iniciar un backend», concluyó Microsoft.

Para contrarrestar la amenaza, la compañía recomienda que las organizaciones endurezcan los límites de confianza del flujo de trabajo de los desarrolladores, apliquen una autenticación sólida y un acceso condicional, mantengan una estricta higiene de las credenciales, apliquen el principio de privilegio mínimo a las cuentas de los desarrolladores y creen identidades, y separe la infraestructura de construcción cuando sea posible.

El desarrollo se produce cuando GitLab dijo que prohibió 131 cuentas únicas que participaban en la distribución de proyectos de código malicioso vinculados a la campaña Contagious Interview y el esquema fraudulento de trabajadores de TI conocido como Wagemole.

«Los actores de amenazas normalmente se originaban en VPN de consumidores cuando interactuaban con GitLab.com para distribuir malware; sin embargo, también se originaban de forma intermitente en infraestructuras VPS dedicadas y probablemente en direcciones IP de granjas de portátiles», Oliver Smith de GitLab. dicho. «Los actores de amenazas crearon cuentas utilizando direcciones de correo electrónico de Gmail en casi el 90% de los casos».

En más del 80% de los casos, según la plataforma de desarrollo de software, se dice que los actores de amenazas aprovecharon al menos seis servicios legítimos para alojar cargas útiles de malware, incluidos JSON Keeper, Mocki, npoint.io, Render, Railway.app y Vercel. Entre ellos, Vercel fue el más utilizado, y los actores de amenazas confiaron en la plataforma de desarrollo web no menos de 49 veces en 2025.

«En diciembre, observamos un grupo de proyectos que ejecutaban malware a través de tareas de VS Code, ya sea canalizando contenido remoto a un shell nativo o ejecutando un script personalizado para decodificar malware a partir de datos binarios en un archivo de fuente falso», agregó Smith, corroborando los hallazgos de Microsoft antes mencionados.

Organigrama evaluado de la célula de trabajadores de TI de Corea del Norte

GitLab también descubrió un proyecto privado «casi con certeza» controlado por un ciudadano norcoreano que administra una célula de trabajadores de TI de Corea del Norte que contenía registros financieros y de personal detallados que mostraban ganancias de más de $ 1,64 millones entre el primer trimestre de 2022 y el tercer trimestre de 2025. El proyecto incluía más de 120 hojas de cálculo, presentaciones y documentos que rastreaban el desempeño de los ingresos trimestrales de los miembros individuales del equipo.

«Los registros demuestran que estas operaciones funcionan como empresas estructuradas con objetivos y procedimientos operativos definidos y una estrecha supervisión jerárquica», señaló GitLab. «La capacidad demostrada de esta célula para cultivar facilitadores a nivel mundial proporciona un alto grado de resiliencia operativa y flexibilidad en el lavado de dinero».

Una cuenta de GitHub asociada con un trabajador de TI de Corea del Norte

En un informe publicado a principios de este mes, Okta dijo que la «gran mayoría» de las entrevistas con trabajadores de TI no avanzan hacia una segunda entrevista u oferta de trabajo, pero señaló que están «aprendiendo de sus errores» y que un gran número de ellos buscan trabajo por contrato temporal como desarrolladores de software contratados por empresas de terceros para aprovechar el hecho de que es poco probable que apliquen verificaciones de antecedentes rigurosas.

«Sin embargo, algunos actores parecen ser más competentes a la hora de crear personajes y pasar entrevistas de proyección», afirma. agregado. Está en juego una especie de selección natural del trabajador de TI. Los actores más exitosos son muy prolíficos y programaron cientos de entrevistas cada uno.»