Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Google descubre exploit zero-day creado con IA

Google descubre exploit zero-day creado con IA

por Dragora

Google reveló un hallazgo histórico en el mundo de la ciberseguridad: por primera vez, investigadores identificaron una vulnerabilidad zero-day cuyo exploit habría sido desarrollado con ayuda de inteligencia artificial (IA), marcando un nuevo punto de inflexión en la evolución de las amenazas cibernéticas modernas.

El descubrimiento fue realizado por el Google Threat Intelligence Group (GTIG), que detectó una sofisticada operación de explotación masiva de vulnerabilidades ejecutada por actores desconocidos que aparentemente colaboraron para automatizar el descubrimiento y weaponización de fallos de seguridad utilizando modelos de lenguaje avanzados.

Según Google, esta campaña representa una señal clara de cómo la inteligencia artificial está transformando no solo las capacidades defensivas, sino también las ofensivas dentro del ecosistema de amenazas globales.

El primer exploit zero-day generado con IA

De acuerdo con el informe compartido por Google Threat Intelligence Group, los atacantes desarrollaron un exploit de día cero utilizando un script en Python que presentaba múltiples características típicamente asociadas a código generado por grandes modelos de lenguaje (LLMs).

La vulnerabilidad afectaba una popular herramienta web open source de administración de sistemas y permitía eludir la autenticación multifactor (2FA) mediante un fallo lógico semántico.

Google no reveló públicamente el nombre de la herramienta afectada, pero confirmó que trabajó junto al proveedor para corregir la vulnerabilidad mediante divulgación responsable.

Los investigadores indicaron que el script malicioso contenía varios indicadores característicos de código generado por IA, incluyendo:

  • Docstrings excesivamente educativos
  • Estructuras “Pythonic” limpias y académicas
  • Menús de ayuda detallados
  • Comentarios descriptivos extensos
  • Clases organizadas de forma estandarizada
  • Una puntuación CVSS inexistente o “alucinada”

Estos patrones llevaron a GTIG a concluir con alta confianza que un modelo de inteligencia artificial fue utilizado para acelerar el descubrimiento y explotación de la vulnerabilidad.

La IA acelera el descubrimiento de vulnerabilidades

La vulnerabilidad detectada requería credenciales válidas para ser explotada, pero el verdadero impacto del caso radica en la forma en que fue descubierta y armada.

Google explicó que el fallo provenía de una suposición de confianza codificada rígidamente dentro de la lógica de autenticación, un tipo de error semántico complejo que los modelos de lenguaje actuales son particularmente efectivos identificando.

Expertos de la industria advierten que la IA ya está reduciendo dramáticamente el tiempo necesario para:

  • Descubrir vulnerabilidades
  • Analizar código fuente
  • Generar exploits funcionales
  • Automatizar pruebas ofensivas
  • Validar fallos de seguridad

Ryan Dewhurst, responsable de inteligencia de amenazas en watchTowr, afirmó que las líneas temporales de explotación se están comprimiendo peligrosamente.

Según Dewhurst:

“El descubrimiento, la militarización y la explotación son ahora mucho más rápidos”.

El especialista advirtió que los defensores ya no pueden asumir que dispondrán de semanas o meses para responder a vulnerabilidades críticas.

PromptSpy: malware Android impulsado por Gemini AI

El informe de Google también reveló nuevos detalles sobre PromptSpy, un sofisticado malware Android que abusa de capacidades de IA relacionadas con Gemini para operar de forma autónoma.

PromptSpy es capaz de:

  • Analizar pantallas en tiempo real
  • Interpretar actividad del usuario
  • Navegar interfaces Android automáticamente
  • Capturar datos biométricos
  • Reproducir patrones y PINs
  • Evadir desinstalación
  • Mantener persistencia avanzada

El malware utiliza módulos autónomos capaces de determinar dinámicamente qué acción ejecutar dependiendo del comportamiento de la víctima.

Además, incorpora un componente denominado “AppProtectionDetector”, diseñado específicamente para impedir la desinstalación de aplicaciones maliciosas.

Esta función crea una superposición invisible sobre el botón “Desinstalar” en Android, bloqueando eventos táctiles y dando la impresión de que el botón dejó de funcionar.

Infraestructura adaptable y resiliente

Google también destacó que PromptSpy fue diseñado con alta resiliencia operativa.

Aunque inicialmente utiliza infraestructura codificada, los operadores pueden modificar dinámicamente:

  • Servidores C2
  • Claves API Gemini
  • Infraestructura VNC
  • Endpoints de control remoto

Todo esto puede actualizarse remotamente sin necesidad de reinstalar el malware.

Según Google, esta arquitectura demuestra que los atacantes anticiparon posibles contramedidas defensivas y diseñaron el malware para mantener persistencia incluso después de bloqueos parciales de infraestructura.

Google aseguró haber desactivado todos los activos asociados a PromptSpy y confirmó que ninguna aplicación infectada fue encontrada dentro de Google Play Store.

Grupos APT utilizan IA para ciberespionaje y automatización ofensiva

El informe también expone múltiples casos de grupos APT que ya están utilizando inteligencia artificial para acelerar operaciones ofensivas.

UNC2814 y vulnerabilidades embebidas

El grupo chino UNC2814 utilizó Gemini para investigar vulnerabilidades en:

  • Firmware TP-Link
  • Implementaciones OFTP
  • Dispositivos embebidos

APT45 automatiza análisis de CVEs

El grupo norcoreano APT45 ejecutó miles de prompts automatizados para:

  • Analizar CVEs
  • Validar exploits PoC
  • Generar investigación ofensiva

APT27 y redes ORB

El grupo chino APT27 utilizó Gemini para acelerar el desarrollo de aplicaciones destinadas a administrar redes ORB (Operational Relay Box).

Rusia y malware con código señuelo IA

Actores vinculados a Rusia desplegaron malware llamado:

  • CANFAIL
  • LONGSTREAM

Estos programas incorporaban código generado por IA como señuelo para ocultar funcionalidades maliciosas reales.

“wooyun-legacy”: entrenamiento ofensivo para LLMs

Google también identificó el uso de un repositorio especializado llamado “wooyun-legacy”, diseñado para mejorar capacidades ofensivas de modelos Claude y otros LLMs.

El repositorio incluye más de 5.000 vulnerabilidades reales recopiladas de la antigua plataforma china WooYun.

El objetivo sería entrenar modelos para:

  • Detectar fallos lógicos complejos
  • Analizar código como expertos humanos
  • Priorizar vulnerabilidades críticas

Esto demuestra cómo actores maliciosos están ajustando modelos específicamente para ciberataques avanzados.

APIs sombra y acceso ilegal a modelos IA premium

El informe también revela un mercado gris creciente en China que ofrece acceso ilegal a modelos premium como:

  • Anthropic Claude
  • Google Gemini

Estas “APIs sombra” utilizan proxies fuera de China continental y son comercializadas en plataformas como:

  • Taobao
  • Xianyu

Investigadores del CISPA Helmholtz Center for Information Security identificaron 17 APIs clandestinas capaces de proporcionar acceso indirecto a modelos oficiales.

Sin embargo, descubrieron que muchas reemplazaban silenciosamente modelos legítimos por versiones degradadas o alteradas, introduciendo riesgos graves de seguridad y privacidad.

La IA redefine el futuro de la ciberseguridad

El informe de Google Threat Intelligence Group confirma que la inteligencia artificial ya no es únicamente una herramienta de productividad o automatización.

Ahora se ha convertido en un multiplicador ofensivo capaz de:

  • Reducir barreras técnicas
  • Automatizar descubrimiento de vulnerabilidades
  • Generar malware adaptable
  • Escalar campañas de explotación
  • Mejorar persistencia maliciosa

Google advirtió que los entornos de IA también se están convirtiendo en objetivos prioritarios para ataques a la cadena de suministro y explotación de infraestructuras empresariales.

La aparición del primer exploit zero-day desarrollado con IA marca el inicio de una nueva etapa en la ciberseguridad global, donde la velocidad de descubrimiento y weaponización de vulnerabilidades podría acercarse peligrosamente al tiempo real.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!