Google reveló el lunes que identificó a un actor de amenazas desconocido utilizando un exploit de día cero que probablemente fue desarrollado con un sistema de inteligencia artificial (IA), marcando la primera vez que la tecnología se ha utilizado en la naturaleza en un contexto malicioso para el descubrimiento de vulnerabilidades y la generación de exploits. Se dice que la actividad es obra de actores de amenazas cibernéticas que parecen haber colaborado para planificar lo que el gigante tecnológico describió como una "operación de explotación masiva de vulnerabilidades".
"Nuestro análisis de los exploits asociados con esta campaña identificó una vulnerabilidad de día cero implementada en un script de Python que permite al usuario eludir la autenticación de dos factores (2FA) en una popular herramienta de administración de sistemas basada en web de código abierto", dijo Google Threat Intelligence Group (GTIG) en un informe compartido con The Hacker News. El gigante tecnológico dijo que trabajó con el proveedor afectado para divulgar responsablemente la falla y solucionarla para interrumpir proactivamente la actividad. No reveló el nombre de la herramienta.
Aunque no hay evidencia que sugiera que la herramienta Gemini de Google se utilizó para ayudar a los actores de amenazas, GTIG evaluó con alta confianza que se utilizó un modelo de IA para facilitar el descubrimiento y la weaponización de la falla a través de un script de Python que presentaba todas las características típicamente asociadas con el código generado por modelos de lenguaje grande (LLM). "Por ejemplo, el script contiene una gran cantidad de cadenas de documentación educativas, incluida una puntuación CVSS alucinada, y utiliza un formato Pythonic estructurado y de libro de texto altamente característico de los datos de entrenamiento de los LLM (por ejemplo, menús de ayuda detallados y la clase de color ANSI _C limpia)", agregó GTIG.
La vulnerabilidad, descrita como una evasión de 2FA, requiere credenciales de usuario válidas para su explotación. Se deriva de una falla lógica semántica de alto nivel que surge como resultado de una suposición de confianza codificada, algo en lo que los LLM sobresalen. "La IA ya está acelerando el descubrimiento de vulnerabilidades, reduciendo el esfuerzo necesario para identificar, validar y weaponizar fallas", dijo Ryan Dewhurst, jefe de inteligencia de amenazas de watchTowr, a The Hacker News en un comunicado. "Esta es la realidad de hoy: el descubrimiento, la weaponización y la explotación son más rápidos. No nos dirigimos hacia plazos comprimidos; hemos estado viendo cómo los plazos se comprimen durante años. No hay piedad por parte de los atacantes, y los defensores no pueden optar por no participar".
La novedad surge mientras la IA no solo actúa como un multiplicador de fuerza para la divulgación y el abuso de vulnerabilidades, sino que también permite a los atacantes desarrollar malware polimórfico y realizar operaciones de malware autónomas, como se observó en el caso de PromptSpy, un malware de Android que abusa de Gemini para analizar la pantalla actual y proporcionar instrucciones para fijar la aplicación maliciosa en la lista de aplicaciones recientes. Una investigación adicional del backdoor ha descubierto un conjunto más amplio de capacidades que permiten al malware navegar por la interfaz de usuario de Android y monitorear e interpretar de forma autónoma la actividad del usuario en tiempo real para determinar el siguiente curso de acción utilizando un módulo de agente autónomo.
PromptSpy también está equipado para capturar datos biométricos de la víctima para reproducir gestos de autenticación, como un PIN de pantalla de bloqueo o un patrón, para recuperar el acceso a un dispositivo comprometido. Además, es capaz de prevenir la desinstalación mediante el uso de un módulo "AppProtectionDetector" que identifica las coordenadas en pantalla del botón "Desinstalar" y muestra una superposición invisible justo sobre el botón para bloquear los eventos táctiles de la víctima y dar la impresión de que el botón no responde.
"Si bien PromptSpy se inicializa utilizando infraestructura y credenciales predeterminadas codificadas, el malware está diseñado con una alta resiliencia operativa, lo que permite a los adversarios rotar componentes críticos en tiempo de ejecución sin tener que redistribuir la carga útil de PromptSpy", dijo Google. "Específicamente, la infraestructura de comando y control (C2) del malware, incluidas las claves de API de Gemini y el servidor de retransmisión VNC, se puede actualizar dinámicamente a través del canal C2. Este modelo de configuración demuestra que los desarrolladores anticiparon las contramedidas defensivas y diseñaron el backdoor para mantener la presencia incluso si los endpoints de infraestructura específicos son identificados y bloqueados por los defensores".
Google dijo que tomó medidas contra PromptSpy deshabilitando todos los activos relacionados con la actividad maliciosa. No se han descubierto aplicaciones que contengan el malware en Play Store. Otros casos de abuso específico de Gemini detectados por Google se enumeran a continuación:
- - Un grupo sospechoso de ciberespionaje con vínculos con China, denominado UNC2814, incitó a Gemini pidiéndole que asumiera el papel de un experto en seguridad de redes para desencadenar un jailbreaking impulsado por la personalidad y apoyar la investigación de vulnerabilidades en dispositivos integrados, incluido el firmware de TP-Link y las implementaciones de Odette File Transfer Protocol (OFTP).
- - El actor de amenazas norcoreano conocido como APT45 (también conocido como Andariel y Onyx Sleet) envió "miles de mensajes repetitivos" que analizan recursivamente diferentes CVE y validan exploits de prueba de concepto (PoC).
- - Un grupo de hackers chino conocido como APT27 aprovechó Gemini para acelerar el desarrollo de una aplicación de gestión de flotas con el objetivo de probablemente gestionar una red de cajas de retransmisión operativa (ORB).
- - Un grupo de actividad de intrusión con vínculos con Rusia atacó organizaciones ucranianas para entregar malware impulsado por IA denominado CANFAIL y LONGSTREAM, ambos utilizan código señuelo generado por LLM para ocultar su funcionalidad maliciosa.
Los actores de amenazas también han sido encontrados experimentando con un repositorio de GitHub especializado llamado "wooyun-legacy" que está diseñado como un plugin de habilidades de código Claude que cuenta con más de 5,000 casos de vulnerabilidades del mundo real recopilados por la plataforma china de divulgación de vulnerabilidades WooYun entre 2010 y 2016. "Al preparar el modelo con datos de vulnerabilidades, facilita el aprendizaje en contexto para orientar el modelo a abordar el análisis de código como un experto experimentado e identificar fallas lógicas que el modelo base de otro modo podría no priorizar", explicó Google.
En otros lugares, se dice que un actor de amenazas presuntamente alineado con China ha desplegado herramientas de agente como Hexstrike AI y Strix en un ataque contra una empresa de tecnología japonesa y una importante plataforma de ciberseguridad de Asia Oriental para realizar descubrimientos automatizados con una supervisión humana mínima. Google también dijo que continúa viendo actores de operaciones de información de Rusia, Irán, China y Arabia Saudita utilizando IA para tareas de productividad comunes como investigación, creación de contenido y localización, incluso cuando señaló la actividad de amenazas de China afiliada a UNC6201 que implicó el uso de un script de Python disponible públicamente para registrar automáticamente y cancelar inmediatamente cuentas premium de LLM.
"Este proceso resalta los métodos que los adversarios aprovechan para adquirir capacidades de IA de alto nivel a escala mientras aíslan su actividad maliciosa de las prohibiciones de cuentas", señaló GTIG. "Los actores de amenazas ahora buscan acceso anónimo de nivel premium a modelos a través de middleware profesionalizado y canales de registro automatizados para eludir ilegalmente los límites de uso. Esta infraestructura permite el uso indebido a gran escala de los servicios mientras subsidia las operaciones mediante el abuso de prueba y la rotación programática de cuentas".
Otra actividad vinculada a China señalada por Google se origina en UNC5673 (también conocido como TEMP.Hex), que ha empleado varias herramientas comerciales disponibles públicamente y proyectos de GitHub para probablemente facilitar el abuso de LLM a escala. Los hallazgos se superponen con informes recientes sobre un próspero mercado gris de plataformas de retransmisión de API que permiten a los desarrolladores locales en China acceder ilícitamente a Anthropic Claude y Gemini. Estas estaciones de retransmisión o transferencia enrutan el acceso a los modelos de IA a través de servidores proxy que están alojados fuera de la China continental. Los servicios se anuncian en los mercados en línea chinos Taobao y Xianyu.
En un estudio publicado en marzo de 2026, académicos del Centro de Seguridad de la Información CISPA Helmholtz encontraron 17 API sombra que afirman proporcionar acceso a servicios de modelos oficiales sin limitaciones regionales a través de acceso indirecto. Una evaluación de rendimiento de estos servicios descubrió evidencia de sustitución de modelos, exponiendo las aplicaciones de IA a riesgos de seguridad no deseados. "En puntos de referencia médicos de alto riesgo como MedQA, la precisión del modelo Gemini-2.5-flash cae precipitadamente, del 83.82% con la API oficial a aproximadamente el 37.00% en todas las API sombra examinadas", dijeron los investigadores en el artículo.
Además, los servicios proxy pueden capturar cada mensaje y respuesta que pasa a través de sus servidores, proporcionando a los operadores acceso ilegal a una mina de oro de datos que luego podría usarse para ajustar modelos y realizar destilación de conocimiento ilícita. En los últimos meses, los entornos de IA también se han convertido en el objetivo de adversarios como TeamPCP (también conocido como UNC6780), exponiendo a los desarrolladores a ataques a la cadena de suministro y permitiendo a los atacadores profundizar en redes comprometidas para una explotación posterior.
"Por ejemplo, los actores de amenazas con acceso a los sistemas de IA de una organización podrían aprovechar los modelos y herramientas internos para identificar, recopilar y exfiltrar información sensible a escala o realizar tareas de reconocimiento para moverse más profundamente dentro de una red", dijo Google. "Si bien el nivel de acceso y el uso particular dependen en gran medida de la organización y de la dependencia comprometida específica, este caso de estudio demuestra el panorama ampliado de las amenazas a la cadena de suministro de software para los sistemas de IA".
