A mediados de julio de 2025, surgió una nueva campaña en la que los ciberdelincuentes armaron la IA generativa para fabricar imágenes de ID del gobierno, incrustándolas dentro de los mensajes de phishing que evitaban las salvaguardas antivirus tradicionales.
Estos correos electrónicos se hicieron pasar por instituciones militares y de seguridad, completos con activos visuales convincentes generados por ChatGPT.
Se instó a los destinatarios a revisar las tarjetas de identificación de “borrador”, desencadenando la descarga de archivos maliciosos que ejecutaban scripts ofuscados.
La sofisticación de esta operación subraya una evolución preocupante en las tácticas adversas, combinando inteligencia artificial con técnicas de evasión heredada para infiltrarse en redes sensibles.
Escenario de ataque (Fuente – Genianos)
El actor de amenaza, atribuido al grupo Kimsuky, aprovechando tanto Autoit como PowerShell, entregó una carga útil de varias etapas de los servidores C2 de Corea del Sur.
Inicialmente, un archivo comprimido contenía un archivo de acceso directo disfrazado de un documento legítimo.
Sobre una solicitud de revisión del borrador de tarjetas de identificación de empleados militares (fuente – genianos)
Cuando se abrió, este atajo invocó un comando por lotes a través de CMD (.) EXE para ensamblar instrucciones maliciosas almacenadas en una variable de entorno.
Estos comandos impulsaron una serie de solicitudes HTTP para recuperar un archivo PNG Deepfake y un script por lotes, que se ejecutó inmediatamente después de la llegada.
Analistas genianos identificado que el script por lotes empleó la cortación variable del entorno, extrayendo los caracteres uno a la vez usando expresiones como ” % AB901AB (:) ~ 7,1 %”, para reconstruir los comandos requeridos para la implementación de la carga útil.
Esta técnica no solo oculta la intención maliciosa de los motores basados en la firma, sino que también evade la detección heurística al retrasar las acciones visibles hasta que se construye la cadena de comando completa.
Los metadatos dentro de la imagen descargada confirmaron su origen generado por IA, marcandolo como un defake profundo con una probabilidad del 98% cuando se analiza a través de un detector especializado.
A pesar de su dependencia de la heurística de IA avanzada, la campaña aún dependía de estrategias clásicas de persistencia y ofuscación.
Las máquinas de las víctimas registran tareas programadas bajo la apariencia de actualizaciones de software legítimas, asegurando que la carga útil se ejecutara a intervalos regulares.
El uso combinado de activos generativos-AI y secuencias de comandos automatizadas creó una amenaza híbrida que desafía los productos antivirus convencionales.
Por lo tanto, los equipos de seguridad deben aumentar sus defensas con el análisis de comportamiento y las soluciones de detección y respuesta de punto final (EDR) capaces de monitorear la actividad del script y la creación de tareas programadas en tiempo real.
Mecanismo de infección
La ola inicial comenzó con un correo electrónico de phishing de lanza disfrazado de un borrador de revisión de las tarjetas de identificación del gobierno.
Los destinatarios haciendo clic en el enlace recibieron un archivo ZIP llamado Gobierno_id_Draft (.) ZIP que contiene gubernamental_id_draft (.) Lnk.
Este atajo lanzó CMD (.) Exe con una cadena larga asignada a una variable de entorno, luego aprovechó la corte de carácter para reconstruir dinámicamente el comando PowerShell malicioso.
Tras la reconstrucción, el script obtuvo dos cargas útiles: un archivo PNG de Deepfake representado por ChatGPT y un script por lotes que lo acompaña.
Tarjeta de identificación virtual generada por IA (Fuente-Genians)
El script por lotes luego creó una tarea programada llamada “HncaUteupDateTaskMachine”, disfrazada de una actualización de la oficina de Hancom, para ejecutar hncupdatetray (.) EXE y su configuración acompañante (.) Bin en un intervalo de siete minutos.
La ofuscación persistió dentro del script compilado de autoit, que utilizó una variación del cifrado Vigenère para cifrar las cadenas de configuración y obstaculizar el análisis estático.
Este enfoque en capas de infección y persistencia ilustra un nuevo nivel de innovación adversaria, integrando la IA generativa con las tuberías tradicionales de entrega de malware.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
