Gemini ahora genera malware en tiempo real y reescribe su código cada hora

El equipo Google Threat Intelligence Group (GTIG) publicó un análisis actualizado del que se desprende que los atacantes han pasado del simple uso de inteligencia artificial para acelerar tareas rutinarias a integrar modelos directamente en el malware, lo que abre una nueva fase de abusos: generación de código "just-in-time" y modificación dinámica del comportamiento de programas maliciosos. En su informe, GTIG describe detalladamente las familias de software detectadas, las técnicas para evadir las restricciones de los modelos, ejemplos de agrupaciones con respaldo estatal y las medidas que la empresa ya ha aplicado para neutralizar la actividad y reforzar las defensas en sus modelos.

GTIG detecta las primeras muestras de malware que consultan modelos LLM en tiempo de ejecución: los ejemplos más destacados recibieron los rastreadores internos PROMPTFLUX y PROMPTSTEAL.
PROMPTFLUX es un dropper experimental en VBScript que, a través de una API, consulta el modelo Gemini solicitando la ofuscación de su propio código y reescribiéndose en el inicio automático; dispone de un módulo "Thinking Robot" que pide periódicamente al modelo nuevas variantes para evadir antivirus.
PROMPTSTEAL es un paquete en Python que utiliza la API de la plataforma Hugging Face y el modelo Qwen2.5-Coder-32B-Instruct para generar comandos de una sola línea de Windows, que luego se ejecutan localmente para recopilar información del sistema y documentos. GTIG considera

PROMPTFLUX como una pieza en fase de desarrollo, mientras que PROMPTSTEAL ya se había empleado en operaciones y se asocia con el grupo atacante APT28 (FROZENLAKE); parte de la actividad fue confirmada por CERT‑UA bajo la etiqueta LAMEHUG.

También en el informe se enumeran otras muestras:
FRUITSHELL — un reverse shell público en PowerShell con indicaciones para evadir defensas LLM;
PROMPTLOCK — un concepto de ransomware en Go que usa LLM para generar scripts en Lua;
QUIETVAULT — un validador en JS que roba tokens de GitHub/NPM y exfiltra resultados a través de repositorios públicos.

Todos estos ejemplos muestran distintos enfoques de integración de IA: desde la regeneración y ofuscación hasta la generación de comandos y la búsqueda de secretos en el host. GTIG señala que algunos mecanismos aún no están activos (comentados) y sirven de plantilla de laboratorio para implementaciones futuras, pero la dirección de la evolución de las amenazas ya es evidente.

De forma separada, el informe examina la técnica por la que los atacantes usan narrativas dentro de la ingeniería social en las consultas a los modelos para eludir las respuestas de protección. GTIG documentó escenarios en los que los actores se presentan como participantes de competiciones CTF o como estudiantes, lo que lleva al modelo a proporcionar información técnica útil que en otros contextos se bloquearía. Trucos similares fueron usados por TEMP.Zagros (MUDDYCOAST) y otros grupos, y uno de estos fallos de seguridad operativa provocó la revelación de dominios C2 y claves de cifrado directamente en los diálogos con el modelo, lo que ayudó a los investigadores a neutralizar la infraestructura del atacante.

El informe subraya que actores con patrocinio estatal de Corea del Norte, Irán y China siguen incorporando herramientas generativas en toda la cadena de ataque: reconocimiento, preparación de material de phishing, desarrollo de C2 y exfiltración avanzada. Los ejemplos incluyen UNC1069 (MASAN), orientado al robo de criptoactivos y la creación de deepfakes; UNC4899 (PUKCHONG), que usó modelos para desarrollar exploits y planificar ataques a la cadena de suministro; y APT41, que empleó Gemini para ayudar en el desarrollo de código y la ofuscación. APT42 intentó construir un "agente de procesamiento de datos" que tradujera consultas en lenguaje natural a consultas SQL para extraer información sensible —intentos que GTIG bloqueó suspendiendo cuentas.

Además de las técnicas técnicas, GTIG destaca la madurez del mercado clandestino: en 2025 surgieron herramientas y servicios multifuncionales que ofrecen generación de correos de phishing, creación de deepfakes, generación automática de malware y suscripciones con acceso a API. El mercado adapta los modelos comerciales de servicios legítimos —versiones gratuitas básicas con suscripciones de pago para funciones avanzadas y acceso a comunidades en Discord—. Esto reduce la barrera de entrada y dota a actores con menos experiencia de capacidades potentes.

GTIG describe con detalle las metodologías para explotar interfaces LLM: el malware puede incrustar claves API codificadas, solicitar la "última versión estable" del modelo para resistir la obsolescencia, pedir "solo código" en formatos aptos para ejecución automática y registrar las respuestas del modelo para análisis posterior. Estas técnicas aumentan la resiliencia y la adaptabilidad del malware, haciendo menos efectivas las defensas tradicionales basadas en firmas.

En respuesta a estas amenazas Google comunica medidas múltiples: desactivación de activos de atacantes, colaboración entre DeepMind y GTIG para reforzar clasificadores y restricciones internas de los modelos, implantación del marco Secure AI Framework (SAIF) y puesta a disposición de kits de herramientas para desarrolladores sobre desarrollo seguro de IA, así como el uso de agentes como Big Sleep para búsqueda automática de vulnerabilidades y el experimental CodeMender para la corrección automática de errores críticos en código. GTIG enfatiza que muchos incidentes fueron neutralizados gracias a la inteligencia operativa y a acciones rápidas para desactivar cuentas e infraestructura.

El informe también ofrece recomendaciones prácticas para defensoras y defensores: supervisar actividad anómala de claves API, detectar llamadas inusuales a servicios LLM externos desde procesos, controlar la integridad de archivos ejecutables, reforzar los procedimientos de protección de secretos en los hosts y evitar la ejecución ciega de comandos generados por modelos externos. GTIG indica que el intercambio de información operativo entre proveedores, investigadoras e investigadores y fuerzas de seguridad sigue siendo fundamental y ya ayudó a detener varias campañas.

Finalmente, GTIG advierte que los ejemplos actuales son experimentales, pero la dirección de la evolución de las amenazas es clara: la IA hace que el malware sea más adaptable y el mercado clandestino más accesible. La empresa subraya la responsabilidad del sector y llama a la estandarización de prácticas seguras en el desarrollo y despliegue de sistemas de IA para minimizar los riesgos de una adopción masiva de estas técnicas.