MalTerminal: el malware que escribe su propio código con GPT-4

Investigadores descubren el primer malware que utiliza modelos de lenguaje como GPT-4 para generar ransomware y shells reversos en tiempo real, desafiando los sistemas de detección tradicionales.

En un hallazgo que marca un antes y un después en la evolución del cibercrimen, investigadores de SentinelLABS han identificado el primer malware conocido que utiliza un modelo de lenguaje grande (LLM) como GPT-4 para generar código malicioso en tiempo real. Bautizado como MalTerminal, este software representa una nueva clase de amenaza que no depende de lógica maliciosa predefinida, sino que crea su comportamiento dinámicamente a través inteligencia artificial.

A diferencia de otros usos de IA en ciberataques —como correos de phishing o ingeniería social— MalTerminal integra directamente las capacidades del modelo GPT-4 en su carga útil. Esto le permite adaptarse al entorno de la víctima y generar ransomware o shells reversos según las instrucciones del operador. Esta flexibilidad complica enormemente la detección, ya que el código generado puede ser único en cada ejecución, anulando las firmas estáticas tradicionales.

El descubrimiento fue posible gracias a una innovadora metodología de cacería de amenazas que no buscaba código malicioso directamente, sino artefactos de integración con LLMs, como claves API incrustadas y estructuras de prompts específicas. Tras analizar más de 7,000 muestras en VirusTotal, los investigadores encontraron un conjunto de scripts en Python y un ejecutable de Windows llamado MalTerminal.exe, que utilizaba una API de OpenAI ya obsoleta, lo que sugiere que el malware fue creado antes de noviembre de 2023.

Una vez activado, MalTerminal solicita al operador elegir entre desplegar ransomware o una shell reversa, y luego usa GPT-4 para generar el código correspondiente. Este enfoque no solo permite ataques personalizados, sino que también complica el análisis forense y la respuesta ante incidentes.

Aunque este tipo de malware aún está en fase experimental, su aparición plantea desafíos críticos para la ciberdefensa. La dependencia de claves API y prompts incrustados ofrece una oportunidad para detección, pero también exige nuevas estrategias que consideren el uso legítimo de servicios de IA. Si una clave API es revocada, el malware puede quedar inutilizado, lo que abre una vía para neutralizar estas amenazas emergentes.

Google lanza Chrome 141 con parches para 21 vulnerabilidades críticas

La nueva actualización corrige fallos que podrían permitir la ejecución de código malicioso y el bloqueo del navegador. Read more..

Mods de Minecraft: diversión con riesgos ocultos

Algunos archivos modificados del juego pueden esconder malware y comprometer tu seguridad digital. Read more..

Microsoft refuerza la seguridad por defecto en Exchange Online y Teams

Nuevas configuraciones buscan proteger a los usuarios contra ataques de intermediarios y accesos no autorizados. Read more..

Allianz Life sufre violación de datos que expone información de 1.5 millones de personas

El incidente compromete números de seguro social y otros datos sensibles... Read more..