Underc0de - La Casa de los Informáticos

Los grandes modelos de lenguaje (LLM) se han convertido en un activo estratégico para empresas, desarrolladores y plataformas tecnológicas. Sin embargo, su rápida adopción también ha despertado el interés de actores amenazantes, que ahora buscan de forma sistemática servidores proxy y endpoints LLM mal configurados para obtener acceso no autorizado a servicios comerciales de inteligencia artificial.

De acuerdo con un informe reciente de la plataforma de monitorización de amenazas GreyNoise, se ha detectado una campaña activa de reconocimiento y enumeración iniciada a finales de diciembre, en la que los atacantes han sondeado más de 73 endpoints de LLM, generando más de 80.000 sesiones en apenas unos días. Esta actividad refleja un cambio claro en el panorama de amenazas, donde la infraestructura de IA comienza a ser tratada como un objetivo de alto valor.

Enumeración sigilosa de endpoints LLM

Según GreyNoise, los actores de la amenaza emplean consultas de bajo ruido para identificar modelos de IA accesibles sin activar alertas de seguridad. En lugar de ejecutar cargas maliciosas evidentes, los atacantes utilizan:

• Saludos breves
• Entradas vacías
• Preguntas factuales simples

Este enfoque permite confirmar la existencia, tipo y proveedor del modelo LLM sin levantar sospechas inmediatas en sistemas de detección tradicionales.

La campaña demuestra un alto nivel de planificación, ya que los atacantes prueban formatos compatibles con las API de OpenAI y Google Gemini, lo que sugiere un conocimiento profundo de los ecosistemas comerciales de IA.

Operaciones de "sombrero gris" detectadas por GreyNoise

El informe también detalla que, durante los últimos cuatro meses, el honeypot de Ollama de GreyNoise registró 91.403 intentos de ataque, atribuidos a dos campañas distintas.

La primera operación comenzó en octubre y continúa activa, alcanzando un pico de 1.688 sesiones en un período de 48 horas alrededor de Navidad. Esta campaña explota vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF), que permiten forzar a un servidor vulnerable a conectarse con infraestructura externa controlada por el atacante.

Los investigadores explicaron que el actor utilizó la funcionalidad de "model pull" de Ollama para inyectar URLs maliciosas a través del parámetro MediaURL, apuntando a registros externos y webhooks SMS de Twilio.

Investigación legítima o abuso encubierto

Un aspecto clave de esta actividad es que, según GreyNoise, las herramientas empleadas apuntan a investigadores de seguridad o cazadores de recompensas (bug bounty). La infraestructura utilizada corresponde a OAST (Out-of-Band Application Security Testing) de ProjectDiscovery, una tecnología común en pruebas de vulnerabilidades legítimas.

No obstante, GreyNoise advierte que la escala, persistencia y el momento de la actividad —especialmente durante el periodo navideño— superan los límites habituales de la investigación responsable.

Citar"Las llamadas OAST son técnicas estándar de investigación de vulnerabilidades. Pero la escala y el momento navideño sugieren que las operaciones de sombrero gris están rompiendo límites" — GreyNoise

Los datos de telemetría indican que esta campaña se originó desde 62 direcciones IP distribuidas en 27 países, con características típicas de servidores VPS, y no de una botnet tradicional, lo que refuerza la hipótesis de una operación manual u organizada.

Segunda campaña: reconocimiento masivo de modelos de IA

GreyNoise identificó una segunda campaña, iniciada el 28 de diciembre, caracterizada por un esfuerzo de enumeración de alto volumen. En solo 11 días, la actividad generó 80.469 sesiones, utilizando únicamente dos direcciones IP para sondear de forma sistemática 73 endpoints LLM.

Los modelos dirigidos abarcan prácticamente todo el ecosistema de IA comercial y open source, incluyendo:

• OpenAI (GPT-4o y variantes)
• Anthropic (Claude Sonnet, Opus y Haiku)
• Meta (Llama 3.x)
• DeepSeek (DeepSeek-R1)
• Google (Gemini)
• Mistral
• Alibaba (Qwen)
• xAI (Grok)

Esta amplitud confirma que los atacantes no buscan un proveedor específico, sino mapear exhaustivamente servicios LLM accesibles o mal protegidos.

Señales de intención maliciosa

Aunque el informe de GreyNoise no confirma explotación activa, robo de datos ni abuso directo de modelos, los investigadores advierten que el comportamiento observado es altamente sospechoso.

"Ochenta mil solicitudes de enumeración representan una inversión. Los actores amenazantes no mapean infraestructuras a esta escala sin planes para usar ese mapa."

Además, la infraestructura de escaneo ha sido vinculada previamente con actividades de explotación de vulnerabilidades, lo que refuerza la hipótesis de que este reconocimiento forma parte de una fase preparatoria para ataques futuros.

Riesgos para organizaciones que usan LLM

El acceso no autorizado a servicios LLM puede derivar en múltiples riesgos críticos:

• Uso fraudulento de modelos comerciales con costes elevados
• Exposición de prompts, datos sensibles o lógica de negocio
• Abuso de recursos computacionales
• Entrenamiento inverso o extracción de modelos
• Puerta de entrada para ataques más complejos

En entornos empresariales, una mala configuración de proxies o endpoints LLM puede convertirse en un vector de ataque silencioso pero devastador.

Medidas defensivas recomendadas

Para mitigar esta amenaza emergente, GreyNoise recomienda implementar medidas específicas, entre ellas:

• Restringir las consultas de modelos Ollama a registros y repositorios confiables
• Aplicar filtrado de salida (egress filtering) estricto
• Bloquear a nivel DNS dominios de callback OAST conocidos
• Limitar la velocidad de solicitudes provenientes de ASN sospechosos
• Monitorizar huellas de red JA4 asociadas a herramientas de escaneo automatizado

Estas acciones permiten reducir drásticamente la superficie de ataque y detectar actividades de reconocimiento temprano, antes de que se materialice un compromiso real.

En fin...

La actividad documentada por GreyNoise confirma que los LLM ya forman parte del radar prioritario de los actores amenazantes. Incluso cuando no se observa explotación directa, la enumeración masiva y silenciosa de endpoints de IA indica una clara intención de preparar ataques futuros.

En un contexto donde la IA se integra cada vez más en procesos críticos, asegurar correctamente proxies, APIs y modelos LLM no es opcional, sino una necesidad estratégica para evitar abusos, pérdidas económicas y compromisos de seguridad a gran escala.

Fuente: https://www.bleepingcomputer.com/