Ciberdelincuentes habrían usado LLM para distribuir malware

Recomendados.... Las nuevas fronteras de la ciberseguridad. Foro IT Digital Security (23 abril) Registro Diez aspectos para redefinir las estrategias de Experiencia de Cliente de las empresas en 2024 Informe Privacidad y seguridad en la inteligencia artificial empresarial con Zoom AI Companion Leer

La firma de ciberseguridad Proofpoint ha identificado al grupo de ciberdelincuencia TA547 en una campaña de correo electrónico que distribuía el malware Rhadamanthys, usando supuestamente grandes modelos de lenguaje (LLM, Large Language Models), del estilo de ChatGPT, Gemini o CoPilot.

Con motivaciones financieras, TA547 se considera un intermediario de acceso inicial (IAB) dirigido a varias regiones geográficas, entre ellas España, Alemania o Estados Unidos. Desde 2023, el grupo suele distribuir el troyano de acceso remoto NetSupport, las payloads StealC y Lumma Stealer, o bien adjuntos JavaScript comprimidos.

Los LLM pueden ayudar a los ciberdelincuentes a entender cadenas de ataques más sofisticadas y reutilizar estas técnicas una vez comprendida su funcionalidad. En este caso, se trataba de un script PowerShell que ayudaba a entregar una payload de malware, pero no alteraba la payload en sí.

Información maliciosa generada por máquinas en lugar de humanos

Aunque es difícil confirmar si el contenido malicioso se ha creado a través de LLM, hay características de dicho contenido que apuntan a información generada por máquinas en lugar de por humanos. En concreto, el script PowerShell incluía un signo de almohadilla seguido de comentarios gramaticalmente correctos e hiperespecíficos sobre cada componente del script, un resultado típico del contenido de codificación generado por LLM.

“Es importante señalar que TA547 incorporó solamente contenidos que procederían de LLM en su cadena de ataque general, sin cambiar la función ni la eficacia del malware o la manera en que las herramientas de seguridad puedan defenderse del mismo”, explica el equipo de investigación de Proofpoint. “El malware o los scripts que incorporan código generado por una máquina seguirán ejecutándose de la misma manera en un sandbox o en un host, activando las mismas defensas automatizadas”.  

En el caso de Proofpoint, debido a que muchos mecanismos de detección se basan en el comportamiento, el origen de cualquier software malicioso no afecta la capacidad para detectar acciones maliciosas en un host. De la misma manera que los emails de phishing generados por LLM usan las mismas características del contenido generado por humanos y son captados por detecciones automáticas.