Hackers Malutilizando ChatGPT Para Escribir Malware: Informe de OpenAI

OpenAI, la empresa detrás del popular chatbot de IA ChatGPT, reveló que ha interrumpido más de 20 operaciones y redes engañosas en todo el mundo desde principios de 2024, incluidas redes vinculadas a hackers patrocinados por el estado iraní y chino.

En un informe publicado el miércoles, la empresa de IA generativa (GenAI) dijo que estas operaciones involucraron el uso de un chatbot impulsado por IA, ChatGPT, para depurar malware, escribir artículos para sitios web, generar contenido publicado por falsas personalidades en cuentas de redes sociales y difundir desinformación relacionada con elecciones.

Según los investigadores Ben Nimmo y Michael Flossman, quienes escribieron el informe, los actores de amenazas aprovecharon la IA durante las fases intermedias de sus campañas.

“Los actores de amenazas utilizaron más a menudo nuestros modelos para realizar tareas en una fase específica e intermedia de la actividad—después de haber adquirido herramientas básicas como acceso a internet, direcciones de correo electrónico y cuentas de redes sociales, pero antes de desplegar productos ‘terminados’ como publicaciones en redes sociales o malware a través de internet,” escribieron los investigadores en el informe.

Sin embargo, enfatizaron que a pesar de la participación de la IA en ciberataques y campañas de influencia, su impacto real ha sido hasta ahora limitado.

No han encontrado evidencia de que la IA contribuya a la creación de malware nuevo y avanzado o mejore significativamente los esfuerzos de desinformación.

El informe de OpenAI destaca tres grupos de amenazas clave que han explotado ChatGPT para facilitar ciberataques:

SweetSpectre: Un grupo vinculado a China, SweetSpectre, utilizó ChatGPT para reconocimiento, investigación de vulnerabilidades, soporte de scripting, evasión de detección de anomalías y desarrollo.

También se encontró que se enviaron correos electrónicos de spear phishing con archivos adjuntos maliciosos a las cuentas de correo electrónico corporativas y personales de algunos empleados de OpenAI, pero fueron bloqueados antes de llegar a los buzones de entrada objetivo.

CyberAv3ngers: Este grupo, vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), es conocido por sus ataques disruptivos contra sistemas de control industrial (ICS) y controladores lógicos programables (PLCs) utilizados en sistemas de agua, manufactura y energía.

El grupo utilizó el modelo ChatGPT para investigar vulnerabilidades, depurar código y pedir consejos de scripting para atacar infraestructuras típicamente asociadas con Israel, Estados Unidos o Irlanda.

STORM-0817: Otro actor de amenaza basado en Irán, STORM-0817, que OpenAI cree que es la primera vez que un hacker ha sido identificado públicamente utilizando modelos de IA.

Este grupo intentó usar ChatGPT para depurar malware, crear herramientas como un scraper de Instagram, traducir perfiles de LinkedIn al persa, y para soporte de depuración y codificación en la implementación de malware para Android, junto con la infraestructura de comando y control de soporte.

Además, los fragmentos de código creados en los mensajes proporcionados por los atacantes con la ayuda del chatbot de OpenAI indicaron que el malware podría robar contactos, registros de llamadas, paquetes instalados, medios en almacenamiento externo, capturas de pantalla, IMEI y modelo del dispositivo, historial de navegación, latitud/longitud, archivos del almacenamiento externo (pdf, documentos de excel), y contenido descargado en almacenamiento externo, incluidos archivos enviados por aplicaciones de mensajería segura como WhatsApp e IMO.

“En paralelo, STORM-0817 utilizó ChatGPT para apoyar el desarrollo de código del lado del servidor necesario para manejar conexiones desde dispositivos comprometidos,” dice el informe de OpenAI.

“Esto nos permitió ver que el servidor de comando y control para este malware es una configuración WAMP (Windows, Apache, MySQL & PHP/Perl/Python) y durante las pruebas estaba utilizando el dominio stickhero[.]pro.”

Mientras estos grupos intentaron explotar ChatGPT, OpenAI enfatizó que la IA no les proporcionó nuevas capacidades significativas para desarrollar malware. Los hackers solo pudieron obtener ventajas incrementales, que ya eran alcanzables a través de herramientas disponibles públicamente y no impulsadas por IA.

Aunque la participación de la IA en ciberataques es preocupante, OpenAI ha implementado medidas para identificar y interrumpir estas actividades maliciosas.

“Mientras miramos hacia el futuro, continuaremos trabajando a través de nuestros equipos de inteligencia, investigaciones, investigación de seguridad y políticas para anticipar cómo los actores maliciosos pueden usar modelos avanzados para fines peligrosos y planificar los pasos de aplicación de manera apropiada. Continuaremos compartiendo nuestros hallazgos con nuestros equipos internos de seguridad y protección, comunicando lecciones a las partes interesadas clave, y colaborando con nuestros pares de la industria y la comunidad de investigación más amplia para adelantarnos a los riesgos y fortalecer nuestra seguridad y protección colectiva,” concluyó la empresa.