Los investigadores de ciberseguridad en Sentinelone han identificado un nuevo malware, Malterminal, que utiliza el GPT-4 de OpenAI para generar código malicioso en tiempo real. Esta funcionalidad establece una nueva categoría de amenaza que integra grandes modelos de lenguaje directamente en las operaciones de malware. El Discovery presenta malware habilitado para LLM, que Sentinelone describe como un «cambio cualitativo en la artesanía adversaria». Funciones de Malterminal como generador de malware. Tras la ejecución, solicita a un atacante que seleccione una carga útil, ofreciendo opciones como un encriptador de ransomware o un shell inverso. Esta selección se envía como un aviso para el GPT-4 AI, que responde generando el código Python adaptado al formato malicioso solicitado. Una característica primaria de Malterinal es su capacidad de evasión. El código malicioso no se almacena estáticamente dentro del archivo de malware, sino que se crea dinámicamente durante el tiempo de ejecución. Esta generación sobre la marcha complica la detección de herramientas de seguridad tradicionales que dependen de escanear archivos estáticos para firmas maliciosas conocidas. Los investigadores de Sentinelone confirmaron la integración GPT-4 al descubrir los scripts de Python y un ejecutable de Windows que contenía claves API codificadas y estructuras rápidas específicas para comunicarse con la IA. El desarrollo del malware ha sido fechado antes de finales de 2023. Los investigadores llegaron a esta conclusión porque el punto final API codificado en el malware se desactivó en ese momento, lo que convirtió a Malterinal en el primer ejemplo conocido de malware con AI. Actualmente, ninguna evidencia sugiere que Malterinal se desplegó alguna vez en un ataque en vivo. Esto indica que puede haberse creado como una prueba de concepto o utilizada como una herramienta para los ejercicios de equipo rojo. El informe de Sentinelone enfatizó los desafíos planteados por este nuevo tipo de malware.
«Con la capacidad de generar lógica y comandos maliciosos en tiempo de ejecución, el malware habilitado para LLM presenta nuevos desafíos para los defensores».
El informe también enmarcó la situación actual como una oportunidad para la comunidad de ciberseguridad. «Aunque el uso de malware habilitado para LLM sigue siendo limitado y en gran medida experimental, esta etapa inicial de desarrollo brinda a los defensores la oportunidad de aprender de los errores de los atacantes y ajustar sus enfoques en consecuencia». Los investigadores agregaron: «Esperamos que los adversarios adapten sus estrategias, y esperamos que más investigaciones puedan aprovechar el trabajo que hemos presentado aquí».
