Google informó que ciberdelincuentes están utilizando inteligencia artificial para descubrir vulnerabilidades y crear exploits, incluyendo el primer caso detectado de un ataque zero-day generado por IA. Además, se identificó el malware PromptSpy, que emplea Gemini para operar de forma autónoma en Android y capturar datos biométricos. Diversos grupos estatales de China, Rusia y Corea del Norte también usan LLMs para acelerar el espionaje y evadir restricciones de acceso.

Google reveló el lunes que ha identificado a un actor de amenazas desconocido utilizando un exploit de día cero que, según afirma, probablemente fue desarrollado con un sistema de inteligencia artificial (IA), marcando la primera vez que esta tecnología se utiliza en entornos reales en un contexto malicioso para el descubrimiento de vulnerabilidades y la generación de exploits.

Se afirma que la actividad es obra de ciberdelincuentes que parecen haber colaborado para planificar lo que el gigante tecnológico describió como una "operación de explotación de vulnerabilidades masiva".

"Nuestro análisis de los exploits asociados con esta campaña identificó una vulnerabilidad de día cero implementada en un script de Python que permite al usuario eludir la autenticación de dos factores (2FA) en una popular herramienta de administración de sistemas basada en la web y de código abierto", afirmó el Grupo de Inteligencia de Amenazas de Google (GTIG) en un informe compartido con The Hacker News aquí.

El gigante tecnológico señaló que trabajó con el proveedor afectado para divulgar la falla de manera responsable y lograr que se solucionara con el fin de interrumpir la actividad. No reveló el nombre de la herramienta.

Aunque no hay pruebas que sugieran que se utilizó la herramienta de IA Gemini de Google para ayudar a los atacantes, el GTIG evaluó con alta confianza que un modelo de IA fue convertido en arma para facilitar el descubrimiento y la explotación de la falla mediante un script de Python que presentaba todas las características típicas asociadas con el código generado por modelos de lenguaje extensos (LLM).

"Por ejemplo, el script contiene una abundancia de cadenas de documentación educativas, incluyendo una puntuación CVSS alucinada, y utiliza un formato Pythonic estructurado, similar a un libro de texto, muy característico de los datos de entrenamiento de los LLM (por ejemplo, menús de ayuda detallados y la clase de color _C ANSI limpia)", añadió el GTIG.

La vulnerabilidad, descrita como un bypass de 2FA, requiere credenciales de usuario válidas para su explotación. Se deriva de una falla de lógica semántica de alto nivel producto de una suposición de confianza codificada, algo en lo que los LLM destacan al detectarlo.

"La IA ya está acelerando el descubrimiento de vulnerabilidades, reduciendo el esfuerzo necesario para identificar, validar y convertir en armas las fallas", dijo Ryan Dewhurst, Jefe de Inteligencia de Amenazas de watchTowr. "Esta es la realidad de hoy: el descubrimiento, la armamentización y la explotación son más rápidos. No nos dirigimos hacia cronogramas comprimidos; hemos estado viendo cómo los cronogramas se comprimen durante años. Los atacantes no tienen piedad y los defensores no pueden optar por excluirse".

El desarrollo ocurre mientras la IA no solo actúa como un multiplicador de fuerza para la divulgación y el abuso de vulnerabilidades, sino que también permite a los atacantes desarrollar malware polimórfico y realizar operaciones de malware autónomas, como se observó en el caso de PromptSpy, un malware de Android que abusa de Gemini para analizar la pantalla actual y proporcionar instrucciones para anclar la aplicación maliciosa en la lista de aplicaciones recientes.

Investigaciones adicionales del backdoor han revelado un conjunto más amplio de capacidades que permiten al malware navegar por la interfaz de usuario de Android y monitorear e interpretar autónomamente la actividad del usuario en tiempo real para determinar el siguiente curso de acción utilizando un módulo de agente autónomo.



PromptSpy también está equipado para capturar datos biométricos de la víctima para reproducir gestos de autenticación, como un PIN de bloqueo de pantalla o un patrón, para recuperar el acceso a un dispositivo comprometido. Además, es capaz de evitar la desinstalación mediante el uso de un módulo "AppProtectionDetector" que identifica las coordenadas en pantalla del botón "Desinstalar" y coloca una capa invisible justo encima del botón para bloquear los eventos táctiles de la víctima y dar la impresión de que el botón no responde.

"Si bien PromptSpy se inicializa utilizando infraestructura y credenciales predeterminadas codificadas, el malware está diseñado con una alta resiliencia operativa, lo que permite a los adversarios rotar componentes críticos en tiempo de ejecución sin volver a desplegar la carga útil de PromptSpy", dijo Google.

"Específicamente, la infraestructura de comando y control (C2) del malware, incluidas las claves de la API de Gemini y el servidor de retransmisión VNC, se pueden actualizar dinámicamente a través del canal C2. Este modelo de configuración demuestra que los desarrolladores anticiparon las contramedidas defensivas e diseñaron el backdoor para mantener la presencia incluso si los puntos finales de la infraestructura específica son identificados y bloqueados por los defensores".

Google afirmó que tomó medidas contra PromptSpy desactivando todos los activos relacionados con la actividad maliciosa. No se han descubierto aplicaciones que contengan el malware en la Play Store. A continuación se enumeran algunos otros casos de abuso específicos de Gemini detectados por Google:

* Un sospechoso grupo de ciberespionaje vinculado a China denominado UNC2814 instó a Gemini pidiéndole que asumiera el papel de un experto en seguridad de red para activar un jailbreaking basado en personajes y apoyar la investigación de vulnerabilidades en objetivos de dispositivos integrados, incluidos el firmware de TP-Link y las implementaciones del Protocolo de Transferencia de Archivos Odette (OFTP).
* El actor de amenazas norcoreano conocido como APT45 (también conocido como Andariel y Onyx Sleet) envió "miles de prompts repetitivos" que analizan recursivamente diferentes CVE y validan exploits de prueba de concepto (PoC).
* Un grupo de hacking chino conocido como APT27 utilizó Gemini para acelerar el desarrollo de una aplicación de gestión de flotas con el objetivo probable de gestionar una red de cajas de retransmisión operativas (ORB).
* Un grupo de actividad de intrusión vinculada a Rusia se dirigió a organizaciones ucranianas para entregar malware habilitado por IA denominado CANFAIL y LONGSTREAM, ambos de los cuales utilizan código señuelo generado por LLM para ocultar su funcionalidad maliciosa.

También se ha descubierto que los actores de amenazas han estado experimentando con un repositorio especializado de GitHub llamado "wooyun-legacy" aquí, diseñado como un plugin de habilidad de código de Claude que cuenta con más de 5,000 casos de vulnerabilidades reales recopilados por la plataforma de divulgación de vulnerabilidades china WooYun entre 2010 y 2016.



"Al alimentar el modelo con datos de vulnerabilidades, se facilita el aprendizaje en contexto para dirigir al modelo a abordar el análisis de código como un experto experimentado e identificar fallas lógicas que el modelo base podría no priorizar", explicó Google.

Por otro lado, se dice que un actor de amenazas presuntamente alineado con China ha desplegado herramientas agénticas como Hexstrike AI y Strix en un ataque dirigido a una empresa de tecnología japonesa y a una importante plataforma de ciberseguridad de Asia Oriental para realizar un descubrimiento automatizado con una supervisión humana mínima.

Google también afirmó que continúa viendo a actores de operaciones de información (IO) de Rusia, Irán, China y Arabia Saudita utilizando la IA para tareas comunes de productividad como investigación, creación de contenido y localización, al tiempo que señaló la actividad de amenazas afiliadas a China de UNC6201 que implicaba el uso de un script de Python disponible públicamente para registrar automáticamente y cancelar inmediatamente cuentas premium de LLM.

"Este proceso resalta los métodos que los adversarios aprovechan para obtener capacidades de IA de alto nivel a escala, mientras aíslan su actividad maliciosa de los bloqueos de cuenta", señaló el GTIG.

"Los actores de amenazas ahora buscan acceso anónimo de nivel premium a los modelos a través de middleware profesionalizado y canalizaciones de registro automatizadas para eludir ilícitamente los límites de uso. Esta infraestructura permite el mal uso a gran escala de los servicios mientras subsidia las operaciones a través del abuso de periodos de prueba y el ciclo programático de cuentas".

Otra actividad vinculada a China señalada por Google proviene de UNC5673 (también conocido como TEMP.Hex), que ha empleado varias herramientas comerciales disponibles públicamente y proyectos de GitHub para facilitar probablemente el abuso escalable de LLM.

Estos hallazgos coinciden con informes recientes aquí y aquí sobre un próspero mercado gris de plataformas de retransmisión de API que permiten a los desarrolladores locales en China acceder ilícitamente a Anthropic Claude y Gemini. Estas estaciones de retransmisión o transferencia enrutan el acceso a estos modelos de IA a través de servidores proxy alojados fuera de China continental. Los servicios se anuncian en los mercados en línea chinos Taobao y Xianyu.

En un estudio publicado aquí en marzo de 2026, académicos del Centro Helmholtz CISPA para la Seguridad de la Información encontraron 17 APIs shadow que afirman proporcionar acceso a servicios de modelos oficiales sin limitaciones regionales a través de acceso indirecto. Una evaluación del rendimiento de estos servicios descubrió evidencia de sustitución de modelos, exponiendo las aplicaciones de IA a riesgos de seguridad no deseados.

"En benchmarks médicos de alto riesgo como MedQA, la precisión del modelo Gemini-2.5-flash cae precipitadamente, del 83.82% con la API oficial a aproximadamente el 37.00% en todas las APIs shadow examinadas", dijeron los investigadores en el documento.

Lo que es más, los servicios proxy pueden capturar cada prompt y respuesta que pasa por sus servidores, proporcionando a los operadores un acceso ilegal a una mina de oro de datos que luego podría usarse para el ajuste fino de modelos y la realización de destilación de conocimientos ilícitos.

En los últimos meses, los entornos de IA también se han convertido en el objetivo de adversarios como TeamPCP (también conocido como UNC6780), exponiendo a los desarrolladores a ataques de cadena de suministro y permitiendo a los atacantes profundizar en las redes comprometidas para una explotación posterior.

"Por ejemplo, los actores de amenazas con acceso a los sistemas de IA de una organización podrían aprovechar los modelos y herramientas internas para identificar, recopilar y exfiltrar información sensible a escala o realizar tareas de reconocimiento para moverse más profundamente dentro de una red", dijo Google. "Si bien el nivel de acceso y el uso particular dependen en gran medida de la organización y la dependencia específica comprometida, este estudio de caso demuestra el panorama ampliado de las amenazas de la cadena de suministro de software para los sistemas de IA".

Fuente:
THN