Detección de Ataques APT Respaldados por Naciones: Microsoft y OpenAI Advierten sobre la Explotación de la IA por Hackers Iraníes, Norcoreanos, Chinos y Rusos

A lo largo de 2023, la frecuencia y la sofisticación de los ataques han aumentado junto con la rápida evolución y adopción de la tecnología de IA. Los defensores apenas están comenzando a comprender y aprovechar el potencial de la IA generativa con fines defensivos para adelantarse a los adversarios, mientras que las fuerzas ofensivas no se quedan atrás. Los hackers han estado abusando de tecnologías impulsadas por IA, como ChatGPT, para llevar a cabo diversas operaciones maliciosas, como generar correos electrónicos de phishing dirigidos, escribir macros de Excel o crear nuevas muestras de ransomware. En el amanecer de la era de la IA, todavía nos preguntamos si los modelos de lenguaje grande (LLM) son una bendición o una maldición para el futuro de la ciberdefensa. 

Grupos APT afiliados al estado de China, Irán, Corea del Norte y Rusia están experimentando con el uso de IA y LLMs para potenciar sus operaciones ofensivas existentes.

Detectar ataques de APTs de Estados-nación usando IA

Las crecientes tensiones geopolíticas a nivel mundial tienen un impacto en el dominio cibernético, siendo una de las razones por las cuales el año 2023 ha estado marcado por la actividad creciente de actores de estados-nación. Los grupos APT adoptan constantemente nuevas tácticas, técnicas y procedimientos para pasar desapercibidos y tener éxito con sus objetivos maliciosos, lo que significa que los defensores cibernéticos necesitan avanzar sus herramientas para lidiar con la creciente sofisticación y volumen de ataques. 

Claramente, la tecnología de IA y LLM atraen la atención de los actores de amenazas ya que permiten la automatización rutinaria, incluida la búsqueda de datos de código abierto, la traducción de notas y scripts maliciosos a múltiples idiomas, y la ejecución de tareas básicas de ingeniería. Según la investigación de OpenAI y Microsoft, varios colectivos respaldados por naciones dependen en gran medida de la IA para potenciar sus capacidades maliciosas, incluidos los norcoreanos Emerald Sleet, el chino Charcoal Typhoon, el ruso Forest Blizzardy el iraní Crimson Sandstorm. 

Para capacitar a los defensores cibernéticos a adelantarse a ataques de cualquier complejidad y sofisticación, la Plataforma SOC Prime sirve un conjunto de herramientas avanzadas para la caza de amenazas y la ingeniería de detección. Basada en inteligencia de amenazas global, crowdsourcing, confianza cero y IA, la Plataforma permite a los profesionales de seguridad buscar en la mayor colección de algoritmos de detección basados en el comportamiento contra ataques APT, encontrar y abordar puntos ciegos en la cobertura de detección, automatizar la ingeniería de detección y más. 

Para detectar actividad maliciosa asociada con los actores APT en el punto de mira, simplemente sigue los enlaces a continuación. Todas las reglas listadas son compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake y están mapeadas a MITRE ATT&CK® v14.1. Además, las detecciones están enriquecidas con metadatos extensos como referencias CTI, líneas de tiempo de ataques y recomendaciones de triaje. 

Emerald Sleet (también conocido como Kimsuky, APT43, Black Banshee, Velvet Chollima, THALLIUM)

Charcoal Typhoon (también conocido como Earth Lusca, Red Scylla)

Forest Blizzard (también conocido como APT28, Fancy Bear)

Crimson Sandstorm (también conocido como Imperial Kittens, TA456)

Para navegar a través de toda la pila de detección dirigida a la detección de APTs norcoreanos, iraníes, rusos y chinos, pulsa el Explorar Detecciones botón a continuación. 

Explorar Detecciones

Análisis de Ataques APT de Estados-nación usando IA

Microsoft y OpenAI han descubierto y desarticulado recientemente el uso malicioso de IA generativa por parte de cinco grupos APT patrocinados por el estado. Los adversarios apuntaban principalmente a explotar los servicios de OpenAI para acceder a datos disponibles públicamente, traducir idiomas, identificar fallas en el código y ejecutar tareas de codificación básicas.

La investigación reveló los siguientes colectivos de piratas informáticos de China, Irán, Corea del Norte y Rusia. A continuación se enumeran cinco grupos APT detrás de ataques que están utilizando la tecnología LLM para llevar a cabo sus operaciones maliciosas.

Entre los actores vinculados a la nación de China que están utilizando IA se encuentran Charcoal Typhoon (también conocido como Aquatic Panda) y Salmon Typhoon (también conocido como Maverick Panda). El primero explotó las ofertas de OpenAI para investigar múltiples compañías y su conjunto de herramientas de ciberseguridad, depurar código, generar scripts y probablemente producir contenido para campañas de phishing dirigidas. El segundo aprovechó los LLMs para traducción técnica, recopilación de datos accesibles públicamente sobre diversas agencias de inteligencia e investigación de técnicas de evasión de defensa.

El grupo Crimson Sandstorm respaldado por Irán (también conocido como Imperial Kitten) aprovechó los servicios de OpenAI para operaciones de scripting para asistir en el desarrollo de aplicaciones y web, para generación de contenido para lanzar ataques de spear-phishing y buscar técnicas comunes para la evasión de detección.

El nefasto grupo de piratas informáticos norcoreanos, conocido como THALLIUM (también conocido como Emerald Sleet o Kimusky), que recientemente fue detectado en ataques contra Corea del Sur usando Troll Stealer y malware GoBear, también ha estado en el centro de atención. Los hackers emplearon tecnología LLM para analizar fallas de seguridad accesibles públicamente, asistir en operaciones de scripting simples y generar contenido para campañas de phishing.

En cuanto a las fuerzas ofensivas rusas, los investigadores identificaron rastros de actividad maliciosa vinculada a Forest Blizzard (también conocido como APT28 o Fancy Bear) hackers detrás de la explotación de las ofertas de OpenAI. Se observó a Forest Blizzard realizando investigaciones de código abierto sobre protocolos de comunicación por satélite y tecnología de imágenes de radar, junto con llevar a cabo operaciones de scripting respaldadas por IA. Notablemente, se ha observado a APT28 lanzando una serie de campañas ofensivas contra organizaciones ucranianas junto con otros colectivos de hackers rusos desde el estallido de la guerra a gran escala en Ucrania, comúnmente aprovechando el vector de ataque de phishing.

A medida que la evolución de la tecnología impulsa la necesidad de protocolos de ciberseguridad y seguridad robustos, Microsoft publicó recientemente investigación sobre los principios de mitigación de riesgos asociados con el uso de herramientas de IA por grupos APT respaldados por países y hackers individuales. Estos principios abarcan la identificación y respuesta al mal uso de la IA por fuerzas ofensivas, notificando a otros proveedores de servicios de IA, cooperando con partes interesadas relevantes para el intercambio rápido de información y manteniendo la transparencia.

La evolución continua del ecosistema de amenazas ha sido impactada por el poder de la IA generativa, con defensores y actores de amenazas por igual esforzándose por obtener una ventaja competitiva en el dominio cibernético. Seguir las mejores prácticas de higiene cibernética respaldadas por el enfoque de confianza cero y complementadas con detección proactiva de amenazas ayuda a los defensores a adelantarse a los adversarios en la era de la IA. SOC Prime fomenta el sistema colectivo de defensa cibernética basado en inteligencia de amenazas, código abierto, confianza cero e IA generativa. Equipa a tu equipo con contenido de detección curado contra ataques APT actuales y emergentes para mantenerse por delante de los adversarios respaldado por la defensa cibernética colectiva en acción.