La IA crea el virus y un hacker añade un emoticono: en Corea del Norte hallan la fórmula para ganar millones sin esfuerzo
Ciberdelincuentes robaron 12 millones de dólares en criptomonedas con herramientas de OpenAI.
Hackers novatos de Corea del Norte lograron robar criptomonedas por millones de dólares en pocos meses. No fue un virus nuevo ni una vulnerabilidad compleja, sino herramientas comunes basadas en inteligencia artificial.
Especialistas de Expel informaron sobre el grupo HexagonalRodent, vinculado con las autoridades de Corea del Norte. Los atacantes infectaron con malware más de 2000 ordenadores. Principalmente fueron atacados desarrolladores que trabajan con criptomonedas, NFT y proyectos Web3. En tres meses, los ataques generaron hasta 12 millones de dólares en criptomonedas.
Casi toda la operación la montaron con servicios listos de inteligencia artificial de empresas estadounidenses, incluidas OpenAI, Cursor y Anima. Con esas herramientas los hackers escribían código malicioso, creaban sitios falsos y elaboraban esquemas de phishing.
A los desarrolladores les enviaban ofertas de empleo en nombre de empresas inexistentes. Para dar apariencia de verosimilitud creaban sitios completos con la descripción de las vacantes. En la siguiente etapa ofrecían a la víctima realizar una tarea de prueba y descargar un archivo con código. Dentro del archivo había malware que recopilaba credenciales y, en algunos casos, daba acceso a las claves de las carteras criptográficas.
Además, los propios hackers no trabajaron con mucha discreción. Dejaron partes de su infraestructura expuestas e incluso pusieron en evidencia las consultas con las que generaban código en ChatGPT y otros servicios. Los especialistas también localizaron una base de datos con las carteras de las víctimas, lo que permitió estimar la magnitud del robo.
El análisis del código malicioso mostró rasgos característicos de haber sido generado por inteligencia artificial. En su interior había muchos comentarios en inglés e incluso emojis. Eso no es habitual en el desarrollo ordinario. Además, el código seguía patrones típicos de malware y podía ser detectado por herramientas de protección estándar. Pero los ataques se dirigían a desarrolladores individuales que a menudo no disponen de esos sistemas.
Según los especialistas, el punto clave no es la complejidad del ataque, sino que la inteligencia artificial permitió a personas sin preparación realizar tareas que requieren experiencia. En Corea del Norte desde hace tiempo se aplica el esquema de empleados de TI que trabajan bajo identidades falsas o participan en ataques. Ahora se puede involucrar a más personas en ese tipo de operaciones sin formación seria.
Según la estimación de Expel, en la campaña participaron 31 personas. Antes, para ataques similares se necesitaría un equipo completo de desarrolladores. Ahora basta con dar acceso a herramientas de inteligencia artificial.
La actividad de HexagonalRodent es solo una parte de la extensa ciberactividad de Corea del Norte. El país realiza regularmente ataques destinados al robo de criptomonedas, al uso de ransomware y al espionaje. Estas operaciones generan dinero, ayudan a eludir sanciones y financian proyectos estatales.
La inteligencia artificial ya se ha convertido en una herramienta útil para ese tipo de grupos. Con su ayuda se crean documentos falsos, se mejoran textos para ingeniería social, se buscan vulnerabilidades y se construye la infraestructura de los ataques. Las empresas OpenAI y Anima afirmaron que bloquean a los malintencionados y trabajan en restricciones.