Con motivaciones financieras, TA547 se considera un intermediario de acceso inicial (IAB) dirigido a varias regiones geográficas, entre ellas España, Alemania o Estados Unidos. Desde 2023, suele distribuir el troyano de acceso remoto NetSupport, las payloads StealC y Lumma Stealer, o bien adjuntos JavaScript comprimidos.
Esta campaña refleja cambios de técnica por parte de TA547, como el uso de LNK comprimidos y del ladrón de información Rhadamanthys, además del provecho de estos ciberdelincuentes a contenidos supuestamente generados por LLM en campañas de malware. Los LLM pueden ayudar a los ciberdelincuentes a entender cadenas de ataques más sofisticadas y reutilizar estas técnicas una vez comprendida su funcionalidad. En este caso, se trataba de un script PowerShell que ayudaba a entregar una payload de malware, pero no alteraba la payload en sí.
Aunque es difícil confirmar si el contenido malicioso se ha creado a través de LLM, hay características de dicho contenido que apuntan a información generada por máquinas en lugar de por humanos. En concreto, el script PowerShell incluía un signo de almohadilla seguido de comentarios gramaticalmente correctos e hiperespecíficos sobre cada componente del script, un resultado típico del contenido de codificación generado por LLM.
“Es importante señalar que TA547 incorporó solamente contenidos que procederían de LLM en su cadena de ataque general, sin cambiar la función ni la eficacia del malware o la manera en que las herramientas de seguridad puedan defenderse del mismo”, explica el equipo de investigación de Proofpoint. “El malware o los scripts que incorporan código generado por una máquina seguirán ejecutándose de la misma manera en un sandbox o en un host, activando las mismas defensas automatizadas”.
En el caso de Proofpoint, debido a que muchos mecanismos de detección se basan en el comportamiento, el origen de cualquier software malicioso no afecta la capacidad para detectar acciones maliciosas en un host. De la misma manera que los emails de phishing generados por LLM usan las mismas características del contenido generado por humanos y son captados por detecciones automáticas.
Tu opinión enriquece este artículo: