La IA genera malware a todas horas; marcas características delatan su origen no humano

Investigadores de Palo Alto Networks informaron sobre un aumento de ataques que emplean la plataforma abierta AdaptixC2, que originalmente se desarrolló para pruebas de penetración, pero resultó ser utilizada por ciberdelincuentes. Las primeras señales de su uso fueron registradas por Unit 42 registraron en mayo de 2025 durante la investigación de incidentes en redes corporativas.

A diferencia de marcos conocidos para la gestión de máquinas comprometidas, AdaptixC2 permaneció largo tiempo en la sombra y prácticamente no se mencionó en ataques reales; sin embargo, los acontecimientos recientes muestran que los atacantes lo adaptan activamente a sus propios escenarios.

AdaptixC2 está diseñado con una arquitectura modular y está orientado a la emulación de acciones de atacantes en ejercicios ofensivos de entrenamiento. La interfaz muestra a los agentes y sus sesiones de manera clara, lo que facilita el control de la infraestructura. El conjunto de funciones abarca la ejecución de comandos arbitrarios, la transferencia de archivos, la extracción de datos y la gestión de conexiones activas.

Para los agentes desplegables existen variantes para x86 y x64, que pueden compilarse como ejecutables independientes, bibliotecas, componentes de servicio o como shellcode puro. Entre las capacidades integradas están la visualización del contenido de directorios, la creación y eliminación de archivos, el control de procesos y el lanzamiento de cualquier binario.

Para la comunicación oculta se prevén proxys SOCKS4/5, reenvío de puertos y ajuste del tamaño de los bloques transmitidos, lo que permite que el tráfico se camufle como legítimo. Además, las extensiones (extenders) permiten conectar cargas útiles propias y técnicas de evasión, y la compatibilidad con Beacon Object Files posibilita la ejecución de módulos en C en la memoria del proceso agente. La configuración de cada instancia está cifrada con el algoritmo RC4 e incluye el tamaño de bloque, los datos cifrados y una clave de 16 bytes.

El marco soporta tres perfiles de comunicación: HTTP, SMB y TCP. El más empleado en los ataques registrados fue el modo HTTP, donde se definen parámetros de los servidores, números de puerto, uso de SSL, métodos de petición HTTP, URI, conjuntos de encabezados y la cadena User-Agent.

En una de las campañas el malware se propagó mediante mensajes falsos de Microsoft Teams que imitaban al soporte técnico. A las víctimas se les inducía a abrir una sesión de Quick Assist, tras lo cual se descargaba en la máquina un script de PowerShell multietapa. Este script descargaba desde un hosting legítimo un shellcode codificado con XOR, lo descifraba directamente en memoria y lo ejecutaba mediante mecanismos de invocación dinámica de .NET, evitando la escritura en disco.

Para afianzarse en el sistema se creaba un acceso directo en el inicio automático. Tras la instalación, los atacantes realizaban reconocimiento con utilidades como nltest.exe, whoami.exe e ipconfig.exe, y luego establecían un canal persistente con el servidor de control.

En otro caso se empleó un script de PowerShell que, según la evaluación de los especialistas, había sido generado mediante una red neuronal. Descargaba el objeto binario de AdaptixC2 codificado en Base64, lo colocaba en una región de memoria dedicada y lo activaba utilizando VirtualProtect.

Para mantener el control se aplicaron dos técnicas: la suplantación de DLL en el directorio Templates y la escritura en la clave de inicio automático del registro. Indicadores característicos como comentarios numerados y mensajes con marcas de verificación, así como el disparo de detectores, señalaban la generación automática de código. Este episodio mostró que el uso de IA acelera el desarrollo de cargadores complejos sin archivos.

La detección de actividad de AdaptixC2 en ataques reales indica que los delincuentes están reinterpretando activamente herramientas creadas para pruebas de penetración. Los especialistas recomiendan monitorear escenarios sospechosos en los que el código se ejecuta solo en memoria mediante invocaciones dinámicas, así como analizar configuraciones cifradas con RC4 para identificar la infraestructura de mando y control. Además, conviene prestar atención a la detección de túneles proxy ocultos y al reenvío de puertos, que son usados activamente por esta plataforma.