Investigadores han detectado MalTerminal, el ejemplo más antiguo conocido de malware que incorpora capacidades de modelos de lenguaje amplio (LLM), como GPT-4, para crear ransomware y reverse shells bajo demanda. Esta nueva tendencia supone un cambio en las tácticas de los atacantes y plantea retos inéditos para los defensores.La integración de modelos de lenguaje, como GPT-4, en herramientas maliciosas representa un salto cualitativo en las capacidades de los atacantes. Investigadores de SentinelOne han identificado MalTerminal, el primer malware documentado que utiliza LLM para generar ransomware y reverse shell de forma dinámica. Junto al uso de inteligencia artificial para evadir defensas y potenciar el ciclo de ataque, este hallazgo expone una preocupante evolución en el arsenal de las amenazas digitales.MalTerminal es un ejecutable para Windows que emplea la API de chat completions de OpenAI (ahora deprecada) para interactuar con GPT-4. El malware solicita al usuario elegir entre generar un payload de ransomware o un reverse shell. Paralelamente, incluye scripts Python que replican estas funciones y una herramienta defensiva (FalconShield) que pide al modelo IA analizar código y producir informes de análisis de malware. A nivel de técnicas evasivas, se describen nuevos métodos de phishing que usan injection prompt en correos HTML para burlar escáneres basados en IA, ocultando instrucciones en atributos de estilo CSS para engañar la evaluación de riesgo de la inteligencia artificial.El uso de LLM embebidos en malware incrementa la capacidad de adaptación y personalización de los ataques, permitiendo a los adversarios generar código malicioso al vuelo y evadir controles tradicionales de detección. Phishing con prompt injection reduce la efectividad de filtros automáticos, mientras que el abuso de plataformas SaaS de IA potencia campañas de robo de credenciales y entrega de malware. El histórico CVE-2022-30190 (Follina) sigue siendo explotado como parte de estas cadenas, recordando la persistencia de riesgos conocidos.Es clave actualizar los sistemas Windows con los últimos parches, restringir scripts no autorizados, monitorizar el acceso a APIs de IA y reforzar las protecciones anti-phishing en servidores de correo. La formación sobre la evolución del phishing y el refuerzo de la autenticación ayudan a disminuir la superficie de ataque. Se recomienda emplear análisis avanzados que contemplen la manipulación semántica que pueden ejercer los LLM sobre el contenido digital.El auge de malware inteligente y phishing potenciado por IA requiere una evolución urgente de las estrategias defensivas. La innovación en amenazas debe ser contrarrestada con educación, actualización y herramientas adaptadas a la nueva era de ataques soportados por LLM. Consultar fuentes oficiales y estar alerta ante técnicas sofisticadas serán hábitos imprescindibles.Más informaciónResearchers Uncover GPT-4-Powered MalTerminal Malware Creating Ransomware, Reverse Shell: CVE-2022-30190La entrada MalTerminal: el primer malware que integra GPT-4 para crear ransomware y evadir defensas se publicó primero en Una Al Día.