En lo que, según se informa, es un primero en el mundo, los investigadores de ESET han descubierto ProMplock, un implante de ransomware generativo de IA actualmente en desarrollo. Los investigadores lo describieron como el «primer ransomware conocido con IA». Utiliza la IA generativa para ejecutar ataques a través de un modelo de lenguaje grande (LLM) gratuito que funciona localmente a través de una interfaz de programación de aplicaciones (API). Sin embargo, ESET enfatizó que la Locklock no se observó en ataques reales y, en cambio, se considera una prueba de concepto (POC) o un trabajo en progreso. Las características de ransomware de AI TRAdLock AI Según un informe del 26 de agosto publicado por ESET, el ransomware apurado se desarrolló en Golang y se ha observado en las variantes de Windows y Linux sometidas a Virustotal. Lo que distingue a este malware es su uso del modelo GPT-ASS: 20B alojado localmente de OpenAI a través de la API Ollama para generar scripts de Lua maliciosos dinámicamente, que luego se ejecutan en sistemas infectados. En lugar de descargar todo el modelo de múltiples gigabytes, el atacante establece un proxy o túnel desde la red comprometida a un servidor remoto que ejecuta la API Ollama con el modelo precargado. Este enfoque se alinea con la técnica de ‘proxy interno’ (Miter ATT & CK T1090.001), una táctica cada vez más adoptada en los ataques cibernéticos contemporáneos para la evasión y la persistencia, dijeron los investigadores de ESET en un hilo sobre X. #esetResearch ha descubierto el primer ransomware conocido AI aipodered, que llamamos #Priptlock. El malware de apurado utiliza el modelo GPT-ASS: 20B desde OpenAI localmente a través de la API Ollama para generar scripts de Lua maliciosos en la mosca, que luego ejecuta 1/6 pic.twitter.com/wuzs7fviwi: ESET Research (@esetresearch) 26 de agosto, 2025 Los scripts de Lua generados a partir de indicadores duraderos son transversales. Estos scripts realizan una enumeración del sistema de archivos, inspección de archivos de destino, exfiltración de datos y cifrado. Dependiendo de los archivos de usuario detectados, el malware puede exfiltrar datos confidenciales, encriptarlos o destruirlos potencialmente. Sin embargo, la funcionalidad de destrucción parece que aún no se ha implementado, señalaron los investigadores de ESET. La dirección de bitcoin incrustada en el intento de trazas de regreso a Satoshi Nakamoto, el creador seudónimo de Bitcoin. Para el cifrado, TRACKLock emplea el algoritmo Speck de 128 bits. Si bien varios indicadores sugieren que esta muestra es probablemente un POC o un desarrollo de etapas tempranas en lugar de una amenaza totalmente operativa activa en la naturaleza, el descubrimiento merece atención de la comunidad de seguridad cibernética. AI Explotado: Claude utilizado para extorsión, fraude y ransomware en otro informe de inteligencia de amenazas publicado el 27 de agosto, la compañía de Genai Anthrope reveló intentos sofisticados de malos actores de explotar su LLM Claude para operaciones cibernéticas maliciosas, muchos de los cuales fueron detectados y interrumpidos antes de la ejecución. El informe detalla ocho estudios de casos, incluidos tres ejemplos destacados de métodos de ataque impulsados ​​por la IA. El primer caso involucró a un grupo cibercriminal que aprovechó el código Claude para automatizar las campañas de robo de datos y extorsión a gran escala, apuntando a más de 17 organizaciones. La IA se utilizó para tomar decisiones tácticas en tiempo real, crear demandas de rescate personalizadas y racionalizar los flujos de trabajo de extorsión. En una operación separada, los actores de amenaza de Corea del Norte explotaron a Claude para crear identidades falsas convincentes, aprobar entrevistas técnicas y asegurar trabajos de TI remotos fraudulentos en compañías tecnológicas legítimas. El esquema fue diseñado para generar ingresos para el régimen de Corea del Norte. El informe también expone un caso en el que un cibercriminal usó Claude para desarrollar, refinar y distribuir múltiples variantes de ransomware, cada una equipada con técnicas de evasión avanzadas, cifrado fuerte y mecanismos anti-Recuvalía.