Hackers norcoreanos usan inteligencia artificial para generar malware y apuntar a desarrolladores

Por: Fecha de publicación:

Investigadores de seguridad han identificado una nueva campaña de hacking patrocinada por Corea del Norte en la que los atacantes están adoptando inteligencia artificial (IA) para crear código malicioso y mejorar sus herramientas de ataque contra desarrolladores de software y equipos de ingeniería. Esta tendencia representa una evolución significativa en las tácticas de grupos como KONNI, mostrando cómo los actores estatales están aprovechando la IA para acelerar el desarrollo de malware y ocultar sus pistas. 

¿Quiénes están detrás de esta campaña?

La campaña ha sido atribuida a un actor de amenazas alineado con Corea del Norte conocido como KONNI, un grupo con historial de actividades maliciosas desde al menos 2014. Tradicionalmente, KONNI se ha concentrado en campañas de spear-phishing dirigidas a objetivos relacionados con Corea del Sur, diplomacia, ONG y gobierno. En esta nueva ola, sin embargo, su enfoque se ha ampliado para incluir equipos de desarrollo de software, en especial aquellos relacionados con blockchain y criptomonedas

¿Cómo funciona la campaña?

1. Señuelos con contenido técnico convincente

Los atacantes crean documentos de ingeniería social (lures) que parecen ser planes de proyectos, requisitos técnicos o resúmenes vinculados a tecnologías populares como blockchain. Estos archivos PDF están diseñados para inspirar confianza en desarrolladores y equipos técnicos, incitándolos a abrir paquetes adjuntos.

Los documentos contienen textos detallados, a menudo simulando hojas de ruta de producto, especificaciones de APIs o listas de tareas de desarrollo, lo que puede convencer a un ingeniero ocupado de que se trata de material legítimo.

2. Entrega del malware

Los archivos maliciosos suelen venir dentro de un archivo ZIP distribuido como adjunto o enlace en un correo de spear-phishing. Cuando la víctima abre el acceso directo o ejecuta un archivo dentro de ese ZIP, se inicia una cadena de ejecución que:

  • Ejecuta un loader en PowerShell generado por IA,

  • Descomprime elementos dentro de una carpeta oculta de Windows,

  • Configura tareas programadas para mantener persistencia.

El uso de PowerShell codificado con IA permite que el malware evite muchas detecciones tradicionales, ya que su código es más limpio, comentado y orientado a desarrolladores, algo difícil de distinguir de scripts legítimos. 

3. Persistencia y ejecución en memoria

Una vez que la carga útil se instala en el sistema, el malware:

  • Se asegura de ejecutarse periódicamente mediante una tarea programada que imita entradas legítimas como OneDrive,

  • Descifra y ejecuta su propio código directamente en memoria usando técnicas como XOR decoding,

  • Evita dejar archivos maliciosos visibles en disco para frustrar el análisis forense.

Este enfoque file-less (sin archivo permanente) dificulta enormemente la detección por parte de antivirus tradicionales y herramientas de respuesta automática.

¿Qué hace el malware generado por IA?

El backdoor no solo abre una puerta remota para los atacantes, sino que también:

  • Recopila detalles del hardware y datos del sistema,

  • Verifica entornos de depuración (debugging tools),

  • Limita el número de instancias para evitar ejecuciones redundantes,

  • Transmite información y permanece oculto mientras mantiene persistencia.

Este tipo de programación, facilitado por herramientas de IA, hace que la lógica del malware sea más sofisticada y modular, lo cual complica la tarea de los defensores.

¿Quiénes están siendo atacados?

Las muestras y análisis muestran que esta campaña está dirigida específicamente a:

  • Desarrolladores de software y equipos de ingeniería,

  • Especialmente aquellos que trabajan con blockchain, criptomonedas o tecnología descentralizada,

  • En países de la región Asia-Pacífico, incluidos Japón, Australia e India.

Este perfil apunta a un interés estratégico de los actores norcoreanos por acceder a sistemas con recursos valiosos, como claves de acceso, control de repositorios o infraestructura de infraestructura de nodos, que podrían facilitar el robo de activos o el espionaje.

La IA como arma en manos de ciberdelincuentes

Lo que distingue a esta operación es el uso explícito de IA para generar código malicioso de forma más rápida y eficaz. En lugar de depender completamente de programadores humanos, los atacantes utilizan IA para:

  • Generar scripts que parecen más legítimos o bien escritos (lo que reduce detecciones por heurística),

  • Ocultar intenciones maliciosas dentro de bloques de código aparentemente rutinarios,

  • Acelerar la fase de desarrollo de malware, reduciendo tiempo entre descubrimiento de idea y despliegue real.

Esta tendencia se alinea con observaciones más amplias en ciberseguridad sobre cómo la AI está siendo mal utilizada por actores hostiles para crear phishing más convincentes, escribir malware o automatizar ataques.

¿Por qué esto es peligroso?

El uso de IA en la creación de malware representa un salto en técnicas de evasión y velocidad de ataque:

  • Los scripts generados por IA pueden parecer menos sospechosos,

  • Los desarrolladores maliciosos pueden producir malware sin ser expertos en programación,

  • Los mecanismos de defensa basados en firmas pueden quedar obsoletos rápidamente,

  • Y los ataques dirigidos pueden eludir filtros tradicionales al parecer contenido técnico legítimo.

Este fenómeno refleja una tendencia global en la que los adversarios utilizan modelos de IA para mejorar phishing, construir exploits y automatizar fases de análisis de objetivos —haciendo que la defensa de seguridad tenga que adaptarse igual de rápido.

¿Cómo protegerse?

Frente a campañas impulsadas por IA y malware sofisticado como este, las estrategias de defensa deben evolucionar:

1. Educación continua

Capacitar a desarrolladores y equipos técnicos para reconocer señales de phishing o mensajes sospechosos, incluso si parecen legítimos o técnicos.

2. Escaneo avanzado de scripts

Utilizar herramientas de análisis que detecten comportamiento malicioso en PowerShell o scripts, no solo firmas estáticas.

3. Políticas estrictas de ejecución

Restringir la ejecución de scripts no firmados o externos en entornos de desarrollo y despliegue.

4. Monitoreo de actividad inusual

Implementar soluciones de respuesta a incidentes que puedan identificar patrones de persistencia o cargas en memoria que no coincidan con flujos legítimos.

La campaña observada por ReliaQuest y analizada también por Check Point Research demuestra que los grupos norcoreanos de hacking están incorporando inteligencia artificial como parte de su arsenal ofensivo, no solo para crear contenido convincente, sino también para generar código malicioso automatizado y evadir defensas tradicionales

Esto representa una evolución importante en las tácticas de ciberataques de estado que exige que organizaciones, desarrolladores y profesionales de seguridad se preparen para contrarrestar amenazas que combinan ingeniería social, automatización y malware sofisticado.


🏷️ Fuente de la información

Este artículo se basa en el reporte original publicado por Cyber Security News:

“North Korean Hackers Adopted AI to Generate Malware Attacking Developers and Engineering Teams”

Disponible en: https://cybersecuritynews.com/north-korean-hackers-adopted-ai-to-generate-malware/


Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Nueva vulnerabilidad crítica en Windows SMB Client puede exponer entornos empresariales completos (CVE-2025-33073)

Por: Fecha de publicación:
Imagen
El 19 de enero de 2026 , se publicó un reporte técnico que revela una vulnerabilidad de seguridad grave en el cliente SMB de Windows que afecta entornos corporativos y redes con Active Directory. Esta falla está catalogada como CVE-2025-33073 y permite a atacantes escalar privilegios y comprometer infraestructuras completas si no se han aplicado las actualizaciones recomendadas por Microsoft.  📌 ¿Qué es SMB y por qué importa? SMB ( Server Message Block ) es un protocolo de red ampliamente usado en sistemas Windows para compartir archivos, impresoras y autenticación entre máquinas. El cliente SMB es la parte del sistema operativo que inicia conexiones a recursos remotos. Este componente también participa en el proceso de autenticación con servicios centrales como Active Directory (AD) , que es el corazón de la gestión de usuarios, permisos y seguridad en casi todas las redes empresariales basadas en Windows.  🔍 ¿En qué consiste esta vulnerabilidad? La falla reside en un mec...
Leer más

Raaga Data Breach: Más de 10 millones de cuentas expuestas en la Dark Web

Por: Fecha de publicación:
Imagen
En diciembre de 2025 se detectó una filtración de datos masiva que afectó a la plataforma Raaga , un popular servicio de streaming de música con base en India . Según reportes de seguridad, el incidente comprometió información personal de más de 10.2 millones de usuarios , y parte de esa base de datos fue publicada para su venta en foros de hacking de la Dark Web . ¿Qué datos se vieron comprometidos? Los datos filtrados incluían información muy sensible de los usuarios, entre ellos: Nombres completos Direcciones de correo electrónico Género y edad (incluidas fechas parciales de nacimiento) Ubicación geográfica y códigos postales Contraseñas almacenadas como hashes MD5 sin “salt” Este último punto es especialmente grave: MD5 sin sal es un algoritmo de hashing obsoleto y muy débil que puede ser descifrado rápidamente con hardware moderno o técnicas automatizadas. Esto permite a los atacantes reconstruir las contraseñas en texto claro con relativa facilidad.  ¿Cómo pudo ...
Leer más

¿La IA aumenta nuestra velocidad en cuanto a productividad?

Por: Fecha de publicación:
Imagen
  Un estudio experimental de Model Evaluation and Transparency Research (METR) midió cómo afecta el uso de herramientas de IA (por ejemplo, asistentes de código como Cursor Pro con modelos como Claude 3.5/3.7 ) a desarrolladores con experiencia trabajando en repositorios de código abierto que conocían bien Los desarrolladores experimentados tardaron un 19% más de tiempo en completar tareas cuando usaron IA comparado con cuando no la usaron. Y antes de usarla, se esperaba que la IA acelerara su trabajo hasta ~24% , y después seguían creyendo que estaban más rápidos (~20%) , aunque los datos mostraban lo contrario.  Esto tiene sus motivos, un uso imperfecto de las herramientas(prompts demasiado simples), familiaridad aún limitada con las interfaces de la IA, estándares de calidad muy altos en el proyecto exigido, insuficiente cobertura de casos complejos por parte de los modelos de IA, distraerse explorando resultados de la IA en vez de avanzar a lo propuesto, en resumidas pal...
Leer más