GTIG: Una nueva etapa de ataques contra LLM y criptomonedas por parte de Corea del Norte

GTIG: Una nueva etapa de ataques LLM y crypto targeting por parte de Corea del Norte, el uso de PROMPTFLUX y PROMPTSTEAL directamente en tiempo de ejecución sin recompilación, así como la expansión de los métodos de entrega de BIGMACHO que amenazan las billeteras de criptomonedas.

Stack 10% More on Your First BTCC Deposit

Start Trading

Más información sobre el rápido crecimiento del ecosistema de hackers basado en IA y las amenazas a la criptoindustria

GTIG AI Threat Tracker destaca indicadores clave de que los adversarios han pasado del uso puramente "productivo" de la IA a la ejecución de código basado en LLM en tiempo de ejecución, abriendo una clase de malware autónomo adaptativo en el que la lógica se carga desde el modelo en lugar de incrustarse de antemano. Registraron las primeras familias que generan scripts y funciones a la carta, se ofuscan y cambian de comportamiento en tiempo de ejecución: PROMPTFLUX y PROMPTSTEAL.

PROMPTFLUX ilustra la dependencia en tiempo de ejecución de los LLM. El dropper VBScript solicita técnicas de ofuscación a través de la API Gemini y guarda la versión reescrita en Inicio, intentando también propagarse a través de medios extraíbles y recursos compartidos de red. Se ha encontrado un módulo "Thinking Robot" que consulta periódicamente "gemini-1.5-flash-latest" con una clave codificada y un mensaje que sólo requiere código VBScript para evadir el antivirus; las respuestas se registran en %TEMP%\thinking_robot_log.txt. Existe una variante con regeneración horaria completa de la fuente conservando la carga útil, la clave API y la lógica de autoregeneración.

PROMPTSTEAL ya se ha utilizado en operaciones. El malware se hace pasar por una aplicación de generación de imágenes y, a través de la API Hugging Face, solicita comandos de Windows de una sola línea al LLM Qwen2.5-Coder-32B-Instruct para recopilar información del sistema y copiar documentos a un directorio especificado con posterior exfiltración. Se trata del primer caso registrado de malware que consulta un LLM sobre el terreno; es probable que se estén utilizando tokens de API robados. Las nuevas muestras añaden ofuscación y cambian el C2.

La liquidez masiva durante la adopción de criptomonedas lo convierte en un objetivo principal

El clúster UNC1069 se ha convertido en crítico, utilizando Gemini para la investigación sobre criptografía y sobre la localización de datos de aplicaciones de monedero, generando señuelos criptográficos y mensajes de acompañamiento, incluidos textos en español para la reprogramación de reuniones y pretextos relacionados con el trabajo. En fases posteriores, esto se convierte en intentos de obtener código para robar criptodivisas y preparar instrucciones fraudulentas disfrazadas de actualizaciones de software para extraer credenciales.

En la misma línea, está el uso de deepfakes que se hacen pasar por figuras de la criptoindustria: se induce a la víctima a instalar un falso "SDK de Zoom", tras lo cual se entrega al sistema el backdoor de BIGMACHO. Aquí destacó el grupo norcoreano UNC4899, que también aprovechó Gemini para el desarrollo y las operaciones, incluida la asistencia con C2 y ofuscación, ampliando las herramientas a dispositivos periféricos y navegadores modernos.

Un punto clave es que ya no se trata de experimentación con nuevas tecnologías, sino de todo un ecosistema de métodos y herramientas. El mercado de los servicios clandestinos de inteligencia artificial crece a gran velocidad: Los foros en inglés y ruso ofrecen herramientas multifuncionales para la suplantación de identidad, la generación de malware y el descubrimiento de vulnerabilidades. El modelo de monetización copia los servicios legítimos: desde freemium con anuncios hasta planes de pago con generación de imágenes, acceso a la API y Discord. Todo ello reduce significativamente la barrera de entrada y escala las campañas sin exigir un alto nivel técnico a los operadores.

La prioridad de la seguridad del sistema es más alta que nunca

Dado que la adopción de criptomonedas avanza con extrema rapidez y atrae capitales masivos, se convierte en un objetivo mucho más atractivo para los atacantes, que apuntan directamente a los fondos en lugar de a los datos, cuya monetización es un paso aparte. Por lo tanto, los atacantes están mejorando sus métodos y herramientas aquí también, buscando el camino más eficiente hacia el objetivo principal, los fondos. Esta es otra señal extremadamente fuerte para que todas las empresas eleven la prioridad de la seguridad como nunca antes, y para que los equipos de seguridad perfeccionen sus soluciones con el fin de garantizar no sólo la viabilidad a largo plazo, sino también la capacidad de recuperación de Web3. Permanezca atento a las últimas actualizaciones y oportunidades en las finanzas descentralizadas, la criptoindustria y los desarrollos de blockchain.