Los actores de amenazas respaldados por Estados de las naciones CRINK han llegado a depender de los modelos de lenguaje grande (LLM) como «herramientas esenciales» para investigar y localizar a las víctimas, según un nuevo informe.
El último informe AI Threat Tracker de Google Threat Intelligence Group (GTIG), elaborado en colaboración con Google DeepMind, detalla las numerosas formas en que los grupos de amenazas ya están utilizando IA para planificar y ejecutar ataques.
Se rastrearon grupos de amenazas persistentes avanzadas (APT) utilizando la propia familia de modelos Gemini de Google para realizar investigaciones específicas sobre víctimas potenciales, investigar vulnerabilidades y crear códigos y scripts personalizados.
Por ejemplo, se descubrió que el APT Temp.HEX, con sede en China, utilizaba Gemini para archivar información sobre objetivos individuales en Pakistán.
El APT UNC6148, aún no atribuido, también utilizó Gemini para buscar información confidencial vinculada a las víctimas, como direcciones de correo electrónico y detalles de cuentas, como primer paso en una campaña de phishing dirigida a Ucrania y al sector de defensa en general.
En respuesta, Google desactivó los recursos asociados a ambos grupos. En otros incidentes, los atacantes utilizaron modelos públicos de IA para impulsar campañas de ataque de forma más directa.
Se observó que grupos respaldados por Irán, como APT42, utilizaban Gemini y otros modelos de inteligencia artificial para investigar a posibles víctimas y luego elaboraban correos electrónicos de phishing convincentes basados en las biografías de los objetivos.
Se observó que ese mismo grupo utilizaba Gemini para traducir idiomas locales, así como referencias y frases regionales.
Los grupos respaldados por Corea del Norte acapararon los titulares durante 2024 y 2025, cuando piratas informáticos se infiltraron en los departamentos de TI de importantes organizaciones, incluida KnowBe4, con direcciones e identidades falsas.
En el informe, se descubrió que el grupo UNC2970, respaldado por Corea del Norte, utilizaba Gemini para planificar ataques a empresas de defensa de la ciberseguridad y mapear especificaciones laborales.
El malware mejorado con IA está ganando impulso
El informe también señaló el riesgo creciente que presenta el malware que utiliza IA para lograr nuevas capacidades, como evitar la detección de redes.
Por ejemplo, se ha descubierto que el malware HONESTCUE utiliza llamadas API a Gemini para generar código de «segunda etapa». Esto se utiliza para descargar y ejecutar malware adicional directamente en la memoria de los sistemas objetivo mediante CSharpCodeProvider, una clase .NET legítima para ejecutar código C#.
Dado que el código producido por Gemini ejecuta el malware secundario directamente en la memoria, HONESTCUE infecta los sistemas de destino sin dejar artefactos reveladores en el disco de la víctima.
Aunque hasta la fecha el malware no se ha vinculado a campañas de ataque específicas, los investigadores de GTIG afirman que creen que su desarrollador es un único actor de amenazas o un pequeño grupo que tantea el terreno para futuros ataques. Esto está respaldado por pruebas de que HONESTCUE se ha probado en Discord.
Otro ejemplo lo encontramos en COINBAIT, un kit de phishing creado por el APT UNC5356 que muestra indicios de haber sido creado utilizando la plataforma de codificación de vibraciones Lovable.
GTIG ha advertido previamente que, si bien el malware de IA aún es incipiente, se está desarrollando rápidamente. En el último informe, los autores señalaron que, si bien las APT aún no han logrado un cambio radical, su exploración de la IA maliciosa continúa y esta tecnología desempeñará un papel cada vez más importante en cada etapa del ciclo de vida del ataque.
Por otro lado, los investigadores descubrieron que los actores de amenazas están haciendo pasar modelos de IA públicos liberados como herramientas ofensivas hechas a mano.
Por ejemplo, ‘Xantharox’, un kit de herramientas para la dark web publicitado como un conjunto de herramientas de IA ofensivas hechas a medida, en realidad está impulsado por herramientas de IA de código abierto como Crush y Hexstrike AI a través del protocolo de contexto de modelo (MCP), así como modelos de IA públicos como Gemini.
Los actores de amenazas roban claves API para habilitar esta actividad oculta, y GTIG advierte que las organizaciones con recursos en la nube e IA están en riesgo. Los usuarios de plataformas como One API y New API, a menudo en países con censura regional de IA, también son blanco de la recolección de claves API.
La extracción de modelos pone en riesgo a los desarrolladores de IA
Los investigadores también observaron casos de APT que realizaban «extracción de modelos», en los que los atacantes utilizan el acceso legítimo a modelos fronterizos como Gemini para ayudar a entrenar nuevos modelos de IA y aprendizaje automático (ML).
Generalmente, los atacantes utilizan un enfoque conocido como destilación de conocimiento (KD) en el cual se entrena un modelo de IA «estudiante» en las respuestas a preguntas específicas basadas en las respuestas de ejemplo del modelo de IA preexistente.
Esto puede dar lugar a modelos con capacidades avanzadas, como el razonamiento de frontera, pero sin las barreras presentes en los modelos de IA públicos como Gemini. En el futuro, los actores de amenazas podrían utilizar
GTIG rastreó más de 100.000 indicaciones destinadas a exponer y replicar las capacidades de razonamiento de Gemini en idiomas distintos del inglés, que fueron contrarrestadas automáticamente por los sistemas de Google.
“El último AI Threat Tracker de Google marca un punto de inflexión específico: ya no nos preocupan solo los avisos incorrectos, sino la extracción a escala industrial de los propios modelos”, escribió Jamie Collier, asesor principal en Europa de Google Threat Intelligence Group, en una publicación de LinkedIn que marcó el lanzamiento del informe.
Google DeepMind y GTIG bloquearon los intentos de extracción de modelos a lo largo de 2025, señalando que los ataques fueron lanzados por empresas privadas e investigadores de todo el mundo, en lugar de APT.
Extraer modelos secundarios de Gemini infringe las condiciones de servicio de Google y se considera robo de propiedad intelectual (PI). El hiperescalador recomendó a las organizaciones que ofrecen modelos de IA como servicio que observen de cerca el acceso a la API para detectar indicios de extracción de modelos.
