En una investigación conjunta de Microsoft y OpenAI se resalta el panorama en evolución de las amenazas cibernéticas, enfatizando la creciente integración de la inteligencia artificial (IA) tanto por parte de los atacantes como de los defensores. Los actores de amenazas van desde grupos de ciberdelincuentes hasta adversarios estatales. Estos aprovechan las tecnologías de IA para mejorar su productividad y desarrollar técnicas de ataque más sofisticadas: reconocimiento, asistencia en programación y soporte de lenguaje para tácticas de ingeniería social. Aunque aún no se han identificado ataques significativos que utilicen Large language models (LLMs), la investigación subraya la importancia de medidas defensivas proactivas, como fortalecer los controles de seguridad e implementar sistemas de monitoreo avanzados para anticipar y contrarrestar actividades maliciosas para mitigar los riesgos en evolución planteados por las amenazas cibernéticas impulsadas por IA.
Estas fueron las principales amenazas encontradas en lo que va de 2024:
Forest Blizzard, un actor IA de inteligencia militar rusa asociado con la Unidad 26165 del GRU, ha dirigido sus esfuerzos a varios sectores, incluyendo defensa, transporte, gobierno, energía e informática, lo que indica un interés táctico y estratégico para el gobierno ruso. Especialmente evidente en operaciones relacionadas con el conflicto en Ucrania. Microsoft evaló las actividades de Forest Blizzard como un papel de apoyo significativo en la política exterior y los objetivos militares de Rusia, tanto a nivel nacional como internacional. Utilizando LLMs, Forest Blizzard ha participado en actividades de reconocimiento, incluida la investigación sobre tecnologías de satélites y radares relevantes para operaciones militares. Frente a ello, Microsoft ha desactivado todas las cuentas y activos asociados, destacando la exploración por parte del adversario de nuevos casos de uso de tecnología.
Emerald Sleet, un actor IA de amenaza norcoreano identificado como THALLIUM, ha mantenido altos niveles de actividad a lo largo de 2023, confiando principalmente en tácticas de spear-phishing para dirigirse a personas prominentes con conocimientos sobre Corea del Norte. Microsoft observó a Emerald Sleet haciéndose pasar por instituciones académicas de renombre y ONGs para solicitar conocimientos expertos sobre políticas extranjeras relacionadas con Corea del Norte. Utilizando grandes modelos de lenguaje (LLMs), Emerald Sleet llevó a cabo investigaciones sobre tanques de pensamiento y expertos relacionados con Corea del Norte, generó contenido para campañas de spear-phishing e interactuó con LLMs para comprender vulnerabilidades, solucionar problemas técnicos y mejorar tácticas de ingeniería social. Todas las cuentas y activos asociados han sido desactivados por Microsoft, subrayando la utilización de LLMs por parte del adversario en varios aspectos de sus operaciones.
Crimson Sandstorm (CURIUM) es un actor IA de amenaza iraní vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), con actividades que se remontan al menos a 2017, dirigido a varios sectores como defensa, transporte marítimo, transporte, atención médica y tecnología a través de ataques de agujero de agua y métodos de ingeniería social para distribuir malware personalizado .NET. Se superponen con otros actores de amenaza conocidos como Tortoiseshell, Imperial Kitten y Yellow Liderc. Utilizando grandes modelos de lenguaje (LLMs), Crimson Sandstorm ha participado en ingeniería social para correos electrónicos de phishing, generación de fragmentos de código para desarrollo de aplicaciones y web, y ha intentado desarrollar técnicas de evasión para detección de anomalías. Microsoft ha desactivado todas las cuentas y activos asociados, reflejando la utilización de LLMs por parte del adversario en múltiples aspectos de sus operaciones.
Charcoal Typhoon (CHROMIUM), un actor IA de amenaza afiliado al estado chino, ha dirigido diversos sectores a nivel mundial, incluyendo gobierno, educación superior, infraestructura de comunicaciones, petróleo y gas, y tecnología de la información, con un enfoque particular en entidades dentro de Taiwán, Tailandia, Mongolia, Malasia, Francia y Nepal. Sus operaciones se extienden a instituciones e individuos que se oponen a las políticas de China. Interactuando con grandes modelos de lenguaje (LLMs), Charcoal Typhoon ha explorado formas de mejorar sus operaciones técnicas, incluyendo el desarrollo de herramientas, la creación de guiones, la comprensión de herramientas de ciberseguridad y la generación de contenido para ingeniería social. Estas actividades sugieren etapas de reconocimiento preliminar, refinamiento de guiones para automatización, asistencia de traducción y técnicas de comando avanzadas. Microsoft ha desactivado todas las cuentas y activos asociados, reafirmando su compromiso de prevenir el mal uso de las tecnologías de inteligencia artificial.
Salmon Typhoon (SODIUM), un actor IA de amenaza sofisticado afiliado al estado chino, ha dirigido históricamente a contratistas de defensa de Estados Unidos, agencias gubernamentales y entidades de tecnología criptográfica, demostrando capacidades a través del despliegue de malware como Win32/Wkysol. A pesar de períodos intermitentes de dormancia, la actividad reciente sugiere un compromiso renovado. Las interacciones con grandes modelos de lenguaje (LLMs) indican una fase exploratoria, evaluando su efectividad en la obtención de información sobre temas sensibles, individuos destacados, geopolítica regional y asuntos de ciberseguridad. Estos compromisos abarcan el reconocimiento informado por LLMs, técnicas de guionización mejoradas, ejecución de comandos operativos refinados y traducción técnica. Microsoft ha desactivado cuentas y activos asociados, subrayando la vigilancia contra el mal uso de las tecnologías de inteligencia artificial, con seguimiento continuo de tales amenazas y colaboración con socios para mejorar las protecciones para los clientes y ayudar a la comunidad de seguridad.