OpenAI ha desmantelado más de 20 operaciones cibernéticas que estaban utilizando su chatbot basado en IA, ChatGPT, para crear y perfeccionar malware, difundir información falsa, evadir sistemas de detección y llevar a cabo ataques de phishing. El informe, que cubre actividades desde principios de este año, es la primera confirmación oficial de que las herramientas de inteligencia artificial generativa se están utilizando para potenciar ciberataques.
Ya en abril, Proofpoint había detectado las primeras señales de este tipo de actividad, sospechando que un grupo conocido como TA547 (alias "Scully Spider") estaba utilizando un cargador de PowerShell generado por IA como parte de su estrategia para desplegar Rhadamanthys, un ladrón de información.
Más recientemente, investigadores de HP Wolf informaron que ciberdelincuentes que atacaban a usuarios en Francia estaban empleando IA para escribir scripts que formaban parte de ataques en varias etapas. El informe de OpenAI confirma el uso indebido de ChatGPT, destacando ejemplos de actores maliciosos, principalmente de China e Irán, que lo están utilizando para hacer sus operaciones más efectivas.
Uso de ChatGPT en Ataques Reales
El primer grupo de amenazas mencionado por OpenAI es 'SweetSpecter', un adversario chino que fue identificado por los analistas de Cisco Talos en noviembre de 2023. Este grupo, enfocado en el ciberespionaje, ha estado atacando a gobiernos asiáticos.
Según OpenAI, SweetSpecter llegó a atacarlos directamente enviando correos de phishing a trabajadores de la compañía, con archivos ZIP maliciosos disfrazados de solicitudes de soporte. Si los archivos se abrían, se activaba una cadena de infección que acababa instalando el malware SugarGh0st RAT en el sistema de la víctima.
Durante su investigación, OpenAI descubrió que el grupo SweetSpecter estaba utilizando varias cuentas de ChatGPT para llevar a cabo análisis de vulnerabilidades y generar scripts con la ayuda de la herramienta de lenguaje LLM.
Estos actores maliciosos usaron ChatGPT para hacer preguntas relacionadas con sus actividades, entre ellas:
- Consultar sobre vulnerabilidades en diferentes aplicaciones.
- Preguntar cómo encontrar versiones específicas de Log4j vulnerables a la crítica falla RCE Log4Shell.
- Investigar los sistemas de gestión de contenidos más populares utilizados fuera de su país.
- Solicitar información sobre números CVE específicos (identificadores de vulnerabilidades conocidas).
- Preguntar cómo se crean los escáneres que abarcan todo Internet.
- Preguntar cómo usar sqlmap para cargar un shell web en un servidor objetivo.
Conoce más sobre: Nueva Era de Ciberataques: IA y el Phishing como Protagonistas
El segundo caso involucra al grupo de amenazas CyberAv3ngers, afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), que se sabe que ataca sistemas industriales en infraestructuras críticas de países occidentales.
Según OpenAI, las cuentas vinculadas a este grupo solicitaron a ChatGPT ayuda para generar credenciales predeterminadas de controladores lógicos programables (PLC) de uso común, crear scripts personalizados en Bash y Python, y ofuscar código.
Además, los hackers iraníes usaron ChatGPT para planificar actividades después de comprometer un sistema, aprender cómo explotar vulnerabilidades específicas y encontrar maneras de robar contraseñas en sistemas macOS. A continuación, te dejamos algunos ejemplos de sus solicitudes:
- Listar los enrutadores industriales más utilizados en Jordania.
- Pedir una lista de protocolos y puertos industriales que puedan estar conectados a Internet.
- Solicitar la contraseña predeterminada de un dispositivo Tridium Niagara.
- Pedir el usuario y contraseña predeterminados de un enrutador industrial Hirschmann RS Series.
- Consultar vulnerabilidades recientes en CrushFTP y el Cisco Integrated Management Controller, así como vulnerabilidades más antiguas en el software Asterisk VoIP.
- Solicitar listas de empresas eléctricas, contratistas y PLC comunes en Jordania.
El tercer caso destacado en el informe de OpenAI involucra a Storm-0817, otro grupo de amenazas iraní. Este grupo utilizó ChatGPT para depurar malware, desarrollar un raspador de Instagram, traducir perfiles de LinkedIn al persa, y crear un malware personalizado para Android junto con la infraestructura de comando y control que lo soporta. Aquí algunos detalles:
- Pedían ayuda para depurar e implementar un raspador de Instagram.
- Traducían perfiles de profesionales de ciberseguridad paquistaníes en LinkedIn al persa.
- Solicitaban asistencia para depurar y desarrollar malware para Android, además de la infraestructura de comando y control asociada.
El malware que crearon con la ayuda de ChatGPT era capaz de robar contactos, registros de llamadas, archivos del dispositivo, tomar capturas de pantalla, revisar el historial de navegación del usuario y obtener su ubicación precisa.
El informe de OpenAI señala que Storm-0817 también utilizó ChatGPT para desarrollar el código del servidor que controlaba las conexiones de los dispositivos comprometidos. El servidor de comando y control de este malware usaba una configuración WAMP (Windows, Apache, MySQL y PHP/Perl/Python) y durante las pruebas estaba vinculado al dominio stickhero[.]pro.
Podrá interesarte leer: Inteligencia Artificial: Nuevo motor detrás del Auge de Ransomware
Todas las cuentas de OpenAI vinculadas a este grupo fueron bloqueadas, y los indicadores de compromiso, incluidas las direcciones IP, se compartieron con socios de ciberseguridad.
Aunque estos casos no muestran que ChatGPT esté dando a los actores maliciosos nuevas capacidades para desarrollar malware, sí demuestran que las herramientas de IA generativa pueden hacer que las operaciones ofensivas sean más eficientes, ayudando a actores menos experimentados en todas las etapas, desde la planificación hasta la ejecución.