Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Usan scripts de PowerShell con IA para enumerar cuentas de Active Directory


Ciberdelincuentes han comenzado a utilizar código PowerShell generado por IA para mapear entornos de Active Directory (AD). Este cambio supone una transición desde el uso de herramientas de hacking comerciales hacia el malware personalizado mediante el denominado "vibe coding" (escritura de software mediante prompts iterativos). Investigadores de Huntress lograron recuperar y reconstruir uno de estos scripts, llamado Untitled1.ps1, detectado en un incidente el 3 de junio de 2026.



Los actores de amenazas han empezado a convertir en armas el código de PowerShell generado por IA para mapear entornos de Active Directory (AD), lo que marca un cambio notable desde las herramientas de hacking convencionales hacia el malware personalizado y "vibe-coded" (codificado por sensaciones).

El vibe coding se refiere a escribir software mediante el uso iterativo de instrucciones (prompts) a una IA en lenguaje natural, en lugar de escribir el código manualmente, hasta que el resultado coincida con la función deseada.

Este enfoque ha bajado la barrera técnica para el cibercrimen, permitiendo que incluso actores de amenazas mediocres generen herramientas de ataque personalizadas y de un solo uso que evaden la detección tradicional basada en firmas.

La intrusión comenzó cuando un atacante utilizó credenciales previamente comprometidas para establecer una sesión de RDP en un servidor Windows unido al dominio. Tras preparar las herramientas en C:\ProgramData, el atacante desplegó Untitled1.ps1 en pocos minutos para mapear los usuarios, ordenadores, grupos y confianzas del dominio.

Aproximadamente treinta minutos después, el atacante ejecutó s5cmd.exe, una herramienta legítima de Amazon S3 frecuentemente abusada para la exfiltración de datos, seguida de SharpShares.exe para buscar carpetas compartidas accesibles mientras filtraba las administrativas.

Los investigadores reconstruyeron el script a partir de la telemetría del ID de evento de Windows 4104 en el registro operativo de PowerShell, que captura los bloques de scripts desplegados.

La herramienta localizó el controlador de dominio mediante un método de respaldo en cascada de cinco pasos excesivamente complejo (búsqueda de DNS, nltest, el módulo AD, variables de entorno y un respaldo codificado), y luego exportó sistemáticamente los Usuarios, Ordenadores, Grupos, Unidades Organizativas, Subredes y Confianzas de AD en archivos CSV. Finalizó generando un archivo AD_Report.html pulido que resumía los datos recolectados y comprimiendo toda la carpeta de salida.

Enumeración de AD (Fuente: Huntress)

Varios artefactos delataron el origen de la IA del script. Su título, "100% Working AD Information Gathering Script – FULLY FIXED", parece el producto de una sesión de depuración de ida y vuelta con un chatbot.

Aún más condenatorio fue un nombre de host provisional no editado, "Server1.HR.local", dejado dentro de la lógica de respaldo; una prueba clara de que el atacante copió y pegó la salida de la IA sin personalizarla.

Los métodos de descubrimiento redundantes del script y su uso excesivo de salidas de consola coloridas también se consideran rasgos distintivos del código generado por LLM, ya que un autor humano normalmente preferiría uno o dos enfoques eficientes en lugar de cinco.

AspectoHerramientas Tradicionales (ej. BloodHound, Cobalt Strike)Scripts Vibe-Coded
Método de detecciónHashes de archivos, firmas estáticasÚnicos por ataque, evaden la coincidencia de hashes
Origen del códigoEscrito por humanos, reutilizado en campañasGenerado por IA, a menudo de un solo uso
Sofisticación del actorModerada a avanzadaPuede ser de baja habilidad, impulsada por prompts
Comportamiento central del ataqueEnumeración de AD, recolección de credencialesMismas mecánicas de enumeración subyacentes

Debido a que cada script vibe-coded es efectivamente único, las herramientas tradicionales de antivirus y EDR que dependen de firmas estáticas tienen dificultades para marcarlos. Huntress enfatiza que, aunque la IA puede reescribir la sintaxis del código infinitamente, no puede disfrazar fácilmente los comportamientos fundamentales de la enumeración de AD; las llamadas al sistema reales y la huella operativa siguen siendo consistentes.

Es por esto que la plataforma SIEM de la firma aún pudo detectar la actividad a través de telemetría conductual en lugar de detección basada en archivos.

Este incidente ilustra una tendencia más amplia: la IA no está reinventando los manuales de los atacantes, sino acelerándolos y personalizándolos, priorizando la velocidad y la agresión sobre el sigilo.

A medida que el vibe coding se vuelve más común en el cibercrimen, se insta a los equipos de seguridad a alejarse de la coincidencia de firmas estáticas hacia el análisis conductual que pueda captar el oficio subyacente que ningún LLM puede ocultar completamente.



Fuentes:
https://cybersecuritynews.com/vibe-coded-powershell-script-active-directory/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.