Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación

Los atacantes están aprovechando cada vez más la inteligencia artificial (IA) para comprometer activos empresariales críticos, lo que marca una peligrosa evolución en el panorama de amenazas. El AI Security Report 2025 de Check Point Research destaca cómo los actores de amenazas utilizan la IA para suplantación con deepfakes, creación automatizada de malware, LLMs vulnerados y campañas de desinformación generativa. Tras campañas que involucraron cebos de IA para propagar los malware CyberLock, Lucky_Gh0$t y Numero, los expertos en ciberseguridad han identificado ahora una nueva amenaza basada en IA. Llamado Koske, este malware sofisticado parece haber sido desarrollado con una importante asistencia de inteligencia artificial, subrayando la creciente militarización de la IA en los ciberataques modernos.

Detectar ataques del malware Koske

Según Netacea, el 93% de las empresas creen que enfrentarán ataques impulsados por IA a diario durante el próximo año. El Splunk State of Security 2025 Report revela además que los líderes de seguridad observan que los actores de amenazas utilizan IA generativa para mejorar la eficacia de los ataques existentes (32%), aumentar su volumen (28%), crear nuevos métodos de ataque (23%) y realizar labores de reconocimiento (17%). Estos datos resaltan el creciente potencial de la IA como herramienta ofensiva, con más variantes maliciosas como el malware Koske apareciendo en el horizonte.

Regístrese en la plataforma SOC Prime para aprovechar las capacidades defensivas de la IA y detectar los ataques del malware Koske en sus etapas más tempranas. La plataforma ofrece inteligencia de amenazas actualizada y contenido de detección accionable, respaldado por un conjunto completo de productos para ingeniería de detección impulsada por IA, caza automatizada de amenazas y detección avanzada. Haga clic en el botón Explorar Detecciones para acceder a la colección curada de reglas diseñadas específicamente para identificar y responder a la actividad de Koske o utilice la etiqueta “Koske” en el Threat Detection Marketplace.

Explorar Detecciones

Todas las detecciones son compatibles con múltiples soluciones SIEM, EDR y Data Lake, y están mapeadas al marco MITRE ATT&CK®. Además, cada regla incluye metadatos detallados, referencias de inteligencia de amenazas, líneas de tiempo de ataques, recomendaciones de triaje y más.

Asimismo, los expertos en seguridad pueden agilizar la investigación de amenazas usando Uncoder AI, un IDE privado y copiloto para ingeniería de detección informada por amenazas. Genere algoritmos de detección a partir de informes de amenazas, habilite barridos rápidos de IOC, prediga etiquetas ATT&CK, optimice código de consultas con consejos de IA y traduzca entre múltiples lenguajes SIEM, EDR y Data Lake. Por ejemplo, los profesionales pueden usar los detalles de la investigación de Aqua Nautilus para generar un Attack Flow v3 mediante la funcionalidad mejorada de Uncoder AI, impulsada por MITRE ATT&CK® v17.1 con tecnología RAG.

Análisis del malware Koske en Linux

La IA está impulsando una nueva ola de ciberamenazas, ya que los atacantes la utilizan para refinar y escalar masivamente sus tácticas. Al mismo tiempo, la IA se convierte en un pilar de las estrategias defensivas modernas. El futuro de la ciberseguridad dependerá de cuán eficazmente se integre la IA con otras tecnologías emergentes. Sin embargo, los actores de amenazas continúan innovando, encontrando nuevas formas de explotar la IA a su favor.

Los investigadores de Aqua Nautilus descubrieron recientemente una campaña adversaria que utiliza una amenaza avanzada de Linux con sofisticadas técnicas de evasión, marcando esta preocupante evolución. Koske es un nuevo malware generado con IA para Linux, diseñado para operaciones de criptominería. Sus capacidades adaptativas sugieren desarrollo con LLMs o marcos de automatización. Koske instala mineros optimizados para CPU y GPU, explotando sistemas infectados para minar más de 18 criptomonedas. Con payloads modulares, rootkits sigilosos y distribución a través de archivos de imagen manipulados, Koske ejemplifica una nueva generación de malware persistente y altamente adaptable. Los investigadores observaron su entrega mediante entornos JupyterLab mal configurados.

La cadena de infección comienza explotando un servidor JupyterLab mal configurado, lo que permite a los atacantes instalar backdoors y descargar dos imágenes JPEG desde URLs acortadas. Estos archivos poliglotas contienen payloads maliciosos añadidos al final, que se ejecutan directamente en memoria, evadiendo la detección antivirus. Uno es código C compilado en un rootkit, y el otro es un script shell que opera de forma sigilosa utilizando herramientas del sistema para mantener persistencia.

El acceso inicial proviene de una IP serbia (178.220.112.53). Una vez dentro, los atacantes emplean técnicas de evasión y persistencia potenciadas por IA, como el secuestro de configuraciones de shell mediante modificaciones de .bashrc y .bash_logout, manipulación del arranque del sistema con /etc/rc.local y servicios systemd personalizados, además de cron jobs programados. Los payloads se ocultan en imágenes de uso dual alojadas en plataformas legítimas. Los archivos poliglotas utilizan imágenes JPEG de osos panda como señuelo, con shellcode malicioso incrustado, lo que dificulta enormemente su detección.

Un payload secundario, extraído de una imagen de oso panda, contiene código C crudo para un rootkit de espacio de usuario que secuestra la función readdir() mediante LD_PRELOAD. Este rootkit oculta archivos, directorios y procesos filtrando entradas según nombres específicos, usando un PID almacenado en /dev/shm/.hiddenpid. Al interceptar listados de herramientas como ls, ps o top, hace invisibles los componentes maliciosos. Cargado mediante LD_PRELOAD o /etc/ld.so.preload, garantiza persistencia sigilosa mientras evade análisis forense.

Koske manipula agresivamente la configuración de red reiniciando variables proxy, limpiando reglas de iptables, forzando DNS de Cloudflare/Google y bloqueando cambios con chattr +i, asegurando comunicación C2 sin interrupciones y eludiendo defensas DNS. Este malware soporta 18 criptomonedas, desplegando mineros optimizados para CPU/GPU según detección de hardware y cambiando automáticamente a monedas o pools alternativos si uno falla.

Los comentarios verbosos, la lógica modular y la sintaxis ofuscada basada en serbio del script sugieren un desarrollo asistido por LLM diseñado para parecer genérico y dificultar su atribución o análisis. Como medidas de mitigación, se recomienda monitorear modificaciones no autorizadas de bash, cambios DNS, nuevos servicios systemd y picos anormales de uso de GPU/CPU. Además, implementar protección de contenedores para bloquear payloads poliglotas, prevenir inyecciones de rootkits ocultos y reforzar la seguridad de red puede ayudar a proteger la infraestructura contra los ataques de Koske. Finalmente, los equipos de seguridad deben aplicar detección de anomalías basada en IA para identificar scripts con características propias de LLM, como comentarios extensos y estructuras modulares.

Koske marca un preocupante hito en la evolución del malware como amenaza automatizada, sigilosa, persistente y potenciada por IA. Para mantenerse al ritmo de esta carrera armamentista, las organizaciones deben adoptar medidas de seguridad contextuales y basadas en comportamiento para proteger los entornos modernos de Linux. SOC Prime ofrece un conjunto completo de productos que combina experiencia en IA, automatización, inteligencia de amenazas en tiempo real y capacidades avanzadas para ayudar a las organizaciones a adelantarse a los ciberataques sofisticados.