Lo que alguna vez fue una herramienta para potenciar la productividad ahora también se está convirtiendo en un arma cibernética. Un nuevo informe de la firma de seguridad Volexity reveló que un grupo de hackers vinculado a China, identificado como UTA0388, está utilizando ChatGPT y otros modelos de lenguaje (LLM) para desarrollar malware y crear campañas de phishing altamente sofisticadas contra objetivos en América del Norte, Asia y Europa.
Según los analistas, este grupo lleva operando al menos desde junio de 2025 y representa una nueva generación de amenazas que combinan la automatización de la IA con tácticas de ingeniería social a gran escala.
Cómo los hackers están usando ChatGPT
Volexity descubrió que UTA0388 emplea ChatGPT no solo para escribir código malicioso, sino también para redactar correos electrónicos convincentes que imitan el estilo de comunicación de investigadores, directivos o académicos de instituciones ficticias pero creíbles.
Estos mensajes engañosos invitan a las víctimas a hacer clic en enlaces o abrir archivos comprimidos que contienen el malware. Lo preocupante es que los textos, aunque a veces incoherentes, están generados automáticamente en varios idiomas, incluyendo inglés, chino, japonés, francés y alemán.
El grupo utiliza una técnica conocida como “phishing de construcción de confianza”, en la que primero entablan una conversación inocente con la víctima antes de enviar el enlace o archivo malicioso. Esta estrategia les permite parecer más creíbles y aumentar las probabilidades de éxito.
El malware GOVERSHELL: un nuevo tipo de amenaza
Los correos fraudulentos incluyen archivos ZIP o RAR con un ejecutable legítimo y una biblioteca DLL maliciosa, una técnica conocida como DLL search order hijacking. Cuando la víctima abre el archivo, se activa un backdoor bautizado como GOVERSHELL, que otorga al atacante control remoto sobre el sistema infectado.
Este malware ha evolucionado rápidamente: los investigadores identificaron cinco variantes distintas, reescritas en diferentes lenguajes de programación (de C++ a Golang) y con sistemas de cifrado mejorados. GOVERSHELL también crea tareas programadas para mantenerse activo incluso después de reiniciar el equipo, lo que lo convierte en una amenaza persistente.
En TecnetOne, este tipo de comportamiento se conoce como persistencia avanzada, un rasgo típico de los grupos APT (amenazas persistentes avanzadas) patrocinados por estados.
Conoce más: OpenAI Confirma que Hackers están Usando ChatGPT para Escribir Malware
El papel de la inteligencia artificial en los ciberataques
Los investigadores creen que el uso de modelos de lenguaje como ChatGPT fue clave para el desarrollo de GOVERSHELL y para redactar los correos de phishing.
Las pruebas no se basan en un solo indicio, sino en patrones acumulativos de evidencia, como errores de contexto, frases inconexas o detalles ficticios —indicadores de que los textos fueron generados por IA.
Por ejemplo, algunos correos provenían de organizaciones inexistentes como el “Copenhagen Governance Institute” o incluían números de teléfono falsos con secuencias numéricas sospechosas.
Otros mostraban errores más evidentes:
- Emails con asuntos en mandarín y cuerpo en alemán.
- Firmas electrónicas que mezclaban tres nombres diferentes.
- Envíos automáticos a direcciones inventadas como nombre.apellido@dominio.
Estos descuidos muestran una automatización sin revisión humana, una tendencia que podría empeorar conforme los atacantes optimicen el uso de la IA.
Detalles extraños que revelan automatización
En algunos casos, los investigadores encontraron en los archivos comprimidos elementos absurdos o sin relación, como imágenes pornográficas o grabaciones de cantos budistas. Estos “huevos de pascua” no cumplen ninguna función maliciosa aparente, lo que refuerza la idea de que el contenido fue generado o compilado por sistemas automatizados.
Para los expertos, esto marca un punto de inflexión: los cibercriminales ya no dependen exclusivamente de la creatividad humana, sino de la capacidad de generar contenido masivo mediante IA. Aunque los resultados no siempre sean coherentes, el volumen y la velocidad de producción superan por mucho las defensas tradicionales.
Evidencia de origen chino
Volexity afirma con alto grado de confianza que UTA0388 actúa en nombre de intereses estatales chinos. Esta conclusión se basa en varios factores:
- Las víctimas están vinculadas con temas geopolíticos asiáticos sensibles.
- Se encontraron caracteres chinos simplificados en las rutas internas del código de GOVERSHELL.
- La infraestructura de los servidores y dominios coincide con otras operaciones atribuidas a grupos APT chinos.
Además, los constantes cambios en el código y los protocolos de comunicación del malware apuntan a la asistencia de una IA en la generación de código, ya que los ajustes no siguen un patrón iterativo humano, sino que parecen salidas de diferentes prompts.
Un riesgo en expansión
Aunque no hay información pública sobre el éxito de estas campañas, el potencial impacto es enorme. Con ayuda de ChatGPT, los atacantes pueden escalar sus operaciones y crear campañas personalizadas a gran velocidad, abaratando costos y reduciendo la necesidad de programadores o redactores humanos.
Esto representa un nuevo desafío para la ciberseguridad corporativa, ya que la IA permite automatizar tareas que antes requerían habilidades avanzadas: desde la creación de código malicioso hasta la redacción de correos perfectamente redactados.
En pocas palabras: la IA no solo está potenciando la productividad de las empresas legítimas, sino también la eficacia y alcance de los atacantes.
Lee más: Falla de ChatGPT en macOS Pudo Permitir Spyware a Largo Plazo
Cómo protegerte de estas nuevas amenazas
En TecnetOne, hemos observado cómo el auge de la inteligencia artificial ha cambiado el panorama de la ciberseguridad. Para proteger tu empresa ante campañas como las de UTA0388, te recomendamos aplicar las siguientes medidas:
- Implementa filtros de correo con detección basada en IA.
Las herramientas modernas de seguridad pueden identificar patrones de texto generados por LLMs o estructuras de correo atípicas.
- Refuerza la autenticación y segmentación de usuarios.
Usa autenticación multifactor (MFA) y separa los permisos de acceso para limitar el impacto si una cuenta es comprometida.
- Actualiza y monitorea los sistemas continuamente.
GOVERSHELL y otras variantes dependen de vulnerabilidades sin parchear. Mantén tu software actualizado y configura alertas para tareas programadas sospechosas.
- Capacita a tus empleados.
La ingeniería social sigue siendo el punto débil más común. Enseña a tus equipos a identificar correos sospechosos y validar remitentes.
- Integra soluciones de detección y respuesta extendida (XDR).
Las plataformas XDR permiten detectar comportamientos anómalos, como ejecución de DLLs no reconocidas o conexiones no autorizadas a servidores externos.
La respuesta de OpenAI
Ante este tipo de abusos, OpenAI ha tomado medidas para suspender cuentas vinculadas a hackers de China y Corea del Norte que intentaban usar ChatGPT para crear malware. Sin embargo, el informe de Volexity demuestra que el problema va más allá de una simple prohibición: los atacantes siempre encuentran formas de evadir controles o usar plataformas alternativas.
Esto subraya la necesidad de una colaboración global entre gobiernos, empresas tecnológicas y equipos de ciberseguridad para evitar que la inteligencia artificial se convierta en una herramienta al servicio del cibercrimen.
Conclusión
El caso de UTA0388 marca un antes y un después: la inteligencia artificial ya no es solo un apoyo para la productividad o la automatización, sino también un acelerador del cibercrimen.
Para las organizaciones, esto significa que las estrategias de defensa deben evolucionar al mismo ritmo que las herramientas de ataque. En TecnetOne, creemos que la clave está en anticiparse y adaptarse, combinando tecnología, capacitación y monitoreo constante.
La IA puede ser una gran aliada, pero en manos equivocadas, también es una amenaza con la capacidad de escribir, aprender… y atacar.
