WormGPT 4 y KawaiiGPT están mejorando sus capacidades maliciosas

Iniciado por AXCESS, Noviembre 29, 2025, 01:15:31 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 29, 2025, 01:15:31 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de Palo Alto Networks Unit42 experimentaron con los dos LLM, cuya adopción entre los ciberdelincuentes está aumentando a través de suscripciones de pago o instancias locales gratuitas.

El modelo WormGPT surgió originalmente en 2023, pero, según se informa, el proyecto se interrumpió ese mismo año. WormGPT 4 representa el resurgimiento de la marca que apareció en septiembre. Está disponible por 50 $ al mes o 220 $ con acceso de por vida y funciona como una variante sin censura de ChatGPT, específicamente diseñada para operaciones de ciberdelincuencia.

Una alternativa gratuita y comunitaria es KawaiiGPT, detectada en julio de este año. Esta herramienta puede generar mensajes de phishing bien diseñados y automatizar el movimiento lateral mediante la producción de scripts listos para usar.
Script de bloqueo de WormGPT 4

Investigadores de la Unidad 42 probaron la capacidad del LLM malicioso para crear código de ransomware que cifraba todos los archivos PDF en un host Windows.

La herramienta generó un script de PowerShell que podía configurarse para buscar extensiones de archivo específicas en ciertas rutas y cifrar datos mediante el algoritmo AES-256.

El script de cifrado de datos generado


Según los investigadores, el código generado incluso añadió una opción para exfiltrar datos a través de Tor, lo que se ajusta a requisitos operativos realistas.

Con otra indicación, WormGPT 4 generó una nota de rescate escalofriante y efectiva que afirmaba contar con cifrado de nivel militar y establecía un plazo de 72 horas antes de duplicar la exigencia de pago.

La nota de rescate generada


Según los investigadores, "WormGPT 4 proporciona una manipulación lingüística creíble para ataques BEC y de phishing", lo que permite incluso a atacantes poco cualificados llevar a cabo ataques más complejos, típicamente llevados a cabo por actores de amenazas más experimentados.

Capacidades de KawaiiGPT

KawaiiGPT es otro LLM documentado este año. Investigadores de Unit 42 probaron la versión 2.5 y afirman que su configuración en un sistema Linux solo toma cinco minutos.

Correo electrónico de phishing generado en KawaiiGPT


Los investigadores probaron sus capacidades mediante indicaciones que le indicaban cómo crear:

Un mensaje de phishing selectivo con suplantación de dominio realista y enlaces para la recolección de credenciales.

Un script de Python para el movimiento lateral que utilizaba la biblioteca SSH paramiko para conectarse a un host y ejecutar comandos remotamente mediante exec_command().

Un script de Python que buscaba recursivamente archivos objetivo en un sistema de archivos de Windows usando os.walk y luego usaba la biblioteca smtplib de Python para empaquetar y exfiltrar los datos a una dirección controlada por el atacante.

Generaba notas de rescate con instrucciones de pago personalizables, plazos y declaraciones típicas sobre la solidez del cifrado.

Función de exfiltración de datos


Aunque KawaiiGPT no demostró la generación de una rutina de cifrado real ni de una carga útil de ransomware funcional como WormGPT 4, los investigadores advierten que su capacidad de ejecución de comandos podría permitir a los atacantes escalar privilegios, robar datos y descargar y ejecutar cargas útiles adicionales.

Ambos LLM maliciosos cuentan con cientos de miembros suscritos en sus canales de Telegram, donde la comunidad intercambia consejos y sugerencias.

«El análisis de estos dos modelos confirma que los atacantes utilizan activamente LLM maliciosos en el panorama de amenazas», advierte Unit 42, señalando también que las herramientas ya no representan una amenaza teórica.

En ambos escenarios, los atacantes inexpertos adquieren la capacidad de realizar ataques más avanzados a escala, lo que reduce el tiempo necesario para investigar a las víctimas o crear herramientas. Los modelos también producen señuelos de phishing pulidos y de sonido natural, sin los errores gramaticales característicos de las estafas tradicionales.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario