Grupos de Corea del Norte, Irán y China señalados por usar inteligencia artificial en malware y actividades maliciosas

Un nuevo informe del Grupo de Análisis de Amenazas de Google (GTAG) ha demostrado que piratas informáticos respaldados por estados de Corea del Norte, Irán y China están experimentando y optimizando activamente ciberataques con herramientas de inteligencia artificial (IA), que en este caso fue Gemini de Google. 

Google afirmó que había observado a varios grupos afiliados a estados utilizando sus grandes modelos de lenguaje para reconocimiento, ingeniería social, desarrollo de malware y mejora de “todas las etapas de sus operaciones, desde el reconocimiento y la creación de señuelos de phishing hasta el desarrollo de comando y control (C2) y la exfiltración de datos”

El informe halló evidencia de ataques novedosos y sofisticados basados ​​en IA. Advirtió que la IA generativa está reduciendo las barreras técnicas para las operaciones maliciosas al ayudar a los atacantes a trabajar con mayor rapidez y precisión.

El informe se basa en advertencias similares de Microsoft y OpenAI, que revelaron una experimentación comparable por parte del mismo trío de actores respaldados por países.

Además, Anthropic, la compañía detrás de Claude AI, publicó un informe sobre cómo ha estado detectando y contrarrestando el uso de IA para ataques, y los grupos vinculados a Corea del Norte fueron los principales actores maliciosos que aparecieron en el informe.

Los actores estatales de Corea del Norte recurren a la IA

En su última actualización de inteligencia sobre amenazas, Google detalló cómo un grupo iraní conocido como TEMP.Zagros, también conocido como MuddyWater, utilizó Gemini para generar y depurar código malicioso disfrazado de investigación académica, con el objetivo final de desarrollar malware personalizado.

Al hacerlo, inadvertidamente expuso detalles operativos clave que permitieron a Google interrumpir partes de su infraestructura.

Se descubrió que actores vinculados a China utilizaban Gemini para mejorar las estrategias de phishing, realizar reconocimiento en redes objetivo e investigar técnicas de movimiento lateral una vez dentro de los sistemas comprometidos. En algunos casos, utilizaron Gemini indebidamente para explorar entornos desconocidos, como infraestructuras en la nube, Kubernetes y vSphere, lo que indica un intento de ampliar su alcance técnico.

operadores norcoreanosestán probando herramientas de inteligencia artificial para mejorar las campañas de reconocimiento y phishing. Un grupo de amenazas norcoreano, conocido por su participación en campañas de robo de criptomonedas que utilizan ingeniería social, también intentó usar Gemini para escribir código que le permitiera robar criptomonedas.

Google pudo mitigar estos ataques y cerrar las cuentas involucradas en ellos.

Una nueva frontera para la ciberdefensa

El informe de Anthropic, publicado en agosto de 2025, aporta pruebas que respaldan el uso indebido de la IA por parte de agentes vinculados al Estado. La empresa descubrió que agentes norcoreanos habían utilizado su modelo Claude para hacerse pasar por desarrolladores de software remotos en busca de empleo.

Según se informa, utilizaron a Claude para generar currículos, ejemplos de códigos y respuestas a entrevistas técnicas para conseguirtracindependientes en el extranjero.

Si bien los hallazgos de Anthropic sacaron a la luz la acción fraudulenta de usar IA para conseguir trabajo, lo que habría llevado a una operación de piratería informática más grande en las organizaciones contratantes, también concuerda con la conclusión de Google de que las herramientas de IA están siendo probadasmaticpara obtener ventajas adicionales por parte de malos actores.

Los hallazgos representan un nuevo problema para la comunidad global de ciberseguridad. Las mismas características que convierten a los modelos y aplicaciones de IA en potentes herramientas de productividad también se utilizan para crear potentes instrumentos de ataque, como demuestran los informes. A medida que se produzcan más avances, estos atacantes se adaptarán y sus ataques se volverán más sofisticados.

Los gobiernos y las empresas de tecnología están comenzando a responder, y la colaboración continua entre todas las partes interesadas para mitigar estas acciones será el camino a seguir.