Un actor iraní le pidió ayuda a Gemini para depurar un script de ataque. En esa solicitud reveló, sin saberlo, el dominio de su infraestructura de mando y control y la clave de cifrado activa. Google desmanteló la campaña. Pero el dato más importante de esa historia no es el error del atacante. Es el malware que ese mismo actor utilizaba: código capaz de consultar un LLM en tiempo real para decidir qué instrucciones ejecutar a continuación, adaptándose al entorno de cada víctima sobre la marcha.

El informe más reciente del Google Threat Intelligence Group (GTIG), publicado el 5 de noviembre de 2025, documenta por primera vez lo que muchos analistas anticipaban: el malware adaptativo con IA ya no es un experimento de laboratorio. Está en operaciones activas.

El Salto Evolutivo: De la Productividad a la Operación Activa

Durante años, el uso de IA por parte de los actores de amenaza se limitó a la eficiencia operativa: generar señuelos de phishing más convincentes, investigar vulnerabilidades en foros especializados, traducir contenido para campañas de desinformación a distintos idiomas. Era IA como herramienta de productividad. Peligrosa, sí, pero conceptualmente comparable a lo que hacen las empresas legítimas con las mismas plataformas.

Lo que documenta GTIG es cualitativamente distinto. "Los adversarios están desplegando novedoso malware habilitado por IA en operaciones activas", afirma el informe. La IA ya no es la herramienta de preparación del ataque. Es el motor de decisión durante la ejecución. Esto transforma el perfil de amenaza de forma radical: un malware que aprende en tiempo real es, por definición, un malware que los sistemas de detección entrenados sobre comportamiento histórico no pueden anticipar con los métodos convencionales.

PROMPTFLUX y PROMPTSTEAL: El Código que se Reescribe Solo

GTIG ha identificado las primeras familias de malware que integran Grandes Modelos de Lenguaje (LLMs) como componente funcional durante la ejecución, no como herramienta de desarrollo previo. El mecanismo es conceptualmente simple en su descripción y perturbador en sus implicaciones operativas:

• PROMPTFLUX: dropper experimental que llama a la API de Gemini en tiempo real para reescribirse dinámicamente y evadir la detección antivirus. Su módulo central, denominado "Thinking Robot", genera código metamórfico bajo demanda, lo que lo convierte en un objetivo prácticamente indetectable mediante análisis de firmas estáticas.
• PROMPTSTEAL: primer caso documentado de malware en operaciones activas con LLM integrado. Desplegado por APT28 (Fancy Bear), el grupo de inteligencia militar rusa (GRU), contra objetivos ucranianos. En lugar de comandos predefinidos, el malware consulta un modelo vía Hugging Face para generar las instrucciones necesarias según el entorno de ejecución específico de cada víctima.

La diferencia operativa entre PROMPTSTEAL y el malware tradicional es comparable a la diferencia entre un script fijo y un analista humano: uno ejecuta instrucciones estáticas, el otro evalúa el contexto y decide en consecuencia. APT28 ya opera con el segundo modelo.

Ingeniería Social Contra la Barrera de la Propia IA

El uso de IA ha abierto un vector de explotación sin precedente: atacar las restricciones de seguridad de los propios modelos de lenguaje. GTIG observó a múltiples actores maliciosos eludir las salvaguardas de Gemini mediante técnicas de jailbreak contextual. El método más documentado: presentarse como estudiantes participando en competiciones Capture The Flag (CTF) o como investigadores de ciberseguridad realizando análisis defensivo.

Bajo ese pretexto, los modelos proporcionaban información técnica que habrían rechazado ante una solicitud directa: análisis de vulnerabilidades, fragmentos de código ofensivo, técnicas de evasión de EDR. La ingeniería social, históricamente dirigida contra humanos, ahora se aplica contra los sistemas de alineamiento de los LLMs con resultados documentados por el equipo de Google.

El Mercado que Democratiza el Cibercrimen

Paralelamente, GTIG confirma la maduración de un ecosistema clandestino de herramientas IA diseñadas exclusivamente para operaciones ilícitas. Herramientas como FraudGPT, MalwareGPT y WormGPT se comercializan en foros underground bajo modelos de suscripción mensual, ofreciendo capacidades ofensivas sin los controles éticos de los modelos comerciales: generación de malware para casos de uso específicos, deepfakes para eludir verificaciones de identidad KYC y kits de phishing optimizados con reconocimiento automatizado de objetivos.

El impacto más significativo no recae sobre los grupos APT sofisticados, que ya disponían de recursos propios. Recae sobre la reducción de la barrera de entrada para actores menos experimentados, lo que amplía el ecosistema de amenazas de forma estructural y difícilmente reversible.

Actores Estatales y la Paradoja Operativa de la IA

Grupos respaldados por los gobiernos de Corea del Norte, Irán y China figuran en el informe como los usuarios más activos de IA en todas las fases del kill chain: reconocimiento inicial, desarrollo de señuelos de spear phishing, construcción de infraestructura C2 y automatización de scripts de exfiltración de datos.

Sin embargo, la dependencia en modelos comerciales ha introducido una vulnerabilidad operativa inesperada. El caso del actor iraní no es aislado: al solicitar a Gemini ayuda para depurar código ofensivo, expuso en el texto de la propia consulta metadatos sensibles de su campaña, incluyendo el dominio C2 activo y la clave de cifrado en uso. Google identificó los artefactos y desmanteló la operación. La IA que potencia el ataque puede, con el análisis correcto, delatar al atacante. Es una paradoja que los equipos de threat intelligence deberían explotar activamente.

Lo que Esto Exige a los Defensores

El malware adaptativo invalida los pilares de detección sobre los que se construyeron la mayoría de las arquitecturas de seguridad corporativa durante la última década. Las implicaciones son concretas:

• La detección por firmas deja de ser suficiente: un malware que reescribe su código en tiempo real nunca genera la misma firma dos veces. Las soluciones EDR y XDR con análisis de comportamiento se convierten en el control más crítico, no en un complemento del antivirus.
• El tráfico hacia APIs de LLMs es un nuevo IoC: conexiones desde endpoints corporativos hacia Gemini, Hugging Face u OpenAI que no corresponden a patrones de uso legítimo documentado deben tratarse como señal de alerta prioritaria dentro de la gestión de amenazas del SOC.
• Los modelos de detección necesitan ciclos de actualización más cortos: los LLMs de los atacantes aprenden y adaptan su comportamiento; los modelos defensivos también deben hacerlo. La inteligencia de amenazas integrada en tiempo real deja de ser una mejora opcional para convertirse en condición operativa.

---

El malware ya no espera instrucciones de un servidor de mando y control. Las genera en tiempo real, adaptadas al entorno específico de cada víctima. APT28 opera con esa capacidad hoy, contra objetivos reales, con herramientas documentadas. La pregunta no es si estos sistemas van a evolucionar hacia mayor autonomía y precisión. La pregunta es: ¿cuánto de tu arquitectura de defensa fue construida para detectar amenazas que siempre se comportan igual?