MalTerminal es un ejecutable para Windows que emplea la API de chat completions de OpenAI (ahora deprecada) para interactuar con GPT-4. El malware solicita al usuario elegir entre generar un payload de ransomware o un reverse shell. Paralelamente, incluye scripts Python que replican estas funciones y una herramienta defensiva (FalconShield) que pide al modelo IA analizar código y producir informes de análisis de malware. A nivel de técnicas evasivas, se describen nuevos métodos de phishing que usan injection prompt en correos HTML para burlar escáneres basados en IA, ocultando instrucciones en atributos de estilo CSS para engañar la evaluación de riesgo de la inteligencia artificial.
El uso de LLM embebidos en malware incrementa la capacidad de adaptación y personalización de los ataques, permitiendo a los adversarios generar código malicioso al vuelo y evadir controles tradicionales de detección. Phishing con prompt injection reduce la efectividad de filtros automáticos, mientras que el abuso de plataformas SaaS de IA potencia campañas de robo de credenciales y entrega de malware. El histórico CVE-2022-30190 (Follina) sigue siendo explotado como parte de estas cadenas, recordando la persistencia de riesgos conocidos.
Es clave actualizar los sistemas Windows con los últimos parches, restringir scripts no autorizados, monitorizar el acceso a APIs de IA y reforzar las protecciones anti-phishing en servidores de correo. La formación sobre la evolución del phishing y el refuerzo de la autenticación ayudan a disminuir la superficie de ataque. Se recomienda emplear análisis avanzados que contemplen la manipulación semántica que pueden ejercer los LLM sobre el contenido digital.
