Un informe reciente de la firma de ciberseguridad Bitdefender ha puesto el foco sobre una nueva fase en la evolución de los ataques patrocinados por estados: el grupo conocido como Transparent Tribe o APT36 ha comenzado a explotar herramientas de inteligencia artificial para producir grandes cantidades de malware en lenguajes poco convencionales y apoyarse en servicios legítimos para sus comunicaciones. No se trata tanto de una revolución técnica como de una estrategia para saturar las defensas, facilitando que piezas mediocres pero numerosas logren su objetivo al mezclarse con tráfico legítimo.
El análisis técnico publicado por Bitdefender describe cómo el actor crea implantes programados en lenguajes emergentes o de nicho —Nim, Zig, Crystal, Rust, Go— y emplea plataformas de uso cotidiano como Slack, Discord, Supabase, Firebase o Google Sheets para el canal de mando y control. Esa elección busca que el tráfico malicioso no destaque ante las herramientas que solo inspeccionan firmas o patrones sencillos. Puedes leer el informe original de Bitdefender aquí: Bitdefender: APT36 y el fenómeno vibeware.
Los modelos de lenguaje han acortado la curva de aprendizaje: permiten a actores con conocimientos limitados generar código en idiomas que antes les resultaban ajenos, o portar la lógica de un binario tradicional a otro ecosistema de desarrollo. El resultado, según los investigadores, es una «industrialización» de malware donde la escala y la diversidad de muestras buscan erosionar la telemetría defensiva. Bitdefender observa que muchos de esos binarios son inestables y contienen errores lógicos, pero aun así resultan operativos cuando se despliegan masivamente.
En las campañas recientes se ha señalado un interés particular por objetivos del gobierno indio y sus misiones diplomáticas en el exterior, mientras que también se han detectado intrusiones contra la administración afgana y algunas empresas privadas. La intrusión inicial suele comenzar con mensajes de phishing que entregan atajos de Windows (.LNK) dentro de archivos comprimidos o imágenes ISO, o bien con documentos PDF que redirigen a la descarga de esos mismos archivos. Al ejecutarse, el acceso inicial se logra mediante PowerShell en memoria que descarga y pone en marcha la puerta trasera principal, y desde ahí se despliegan herramientas de simulación de adversarios como Cobalt Strike o Havoc para garantizar persistencia y movilidad lateral.
Los investigadores han identificado una familia amplia de herramientas y componentes que ejemplifican la estrategia: loaders escritos en Crystal o Zig que cargan shellcode en memoria; loaders experimentales en Nim que llevan beacons de Cobalt Strike; componentes .NET que sirven como primer entregador de cargas adicionales; y una variedad de backdoors e infostealers escritos en Rust o Go que usan APIs de servicios en la nube y de productividad para su mando y control. Entre los nombres que aparecen en los reportes están Warcode, NimShellcodeLoader, CreepDropper, SHEETCREEP, MAILCREEP, SupaServ, LuminousStealer, CrystalShell, ZigShell, CrystalFile, LuminousCookies, BackupSpy, ZigLoader y una variante personalizada del marco GateSentinel. Para quien quiera investigar más el proyecto GateSentinel de código abierto, existe documentación pública en GitHub: GateSentinel (GitHub).
Que estos componentes apoyen su telemetría en canales legítimos no es una casualidad: usar servicios de confianza complican las señales que anormalmente disparan alertas y permiten a los atacantes «camuflarse» dentro de tráfico que los equipos suelen considerar inocuo. La combinación de lenguajes exóticos y servicios legítimos como proxy de C2 reduce la visibilidad de las defensas tradicionales, y eso es precisamente lo que buscan grupos que ahora emplean asistentes de programación basados en LLM.
Desde el punto de vista defensivo, la conclusión de los analistas es clara: la seguridad ya no puede apoyarse únicamente en listas de firmas. La detección basada en comportamientos, en la telemetría enriquecida y en controles que limiten la ejecución de binarios no autorizados se convierte en la línea de contención más efectiva. Muchas recomendaciones prácticas para endurecer el entorno coinciden con guías públicas de agencias y proveedores: fortalecer el filtro de correo y la formación en detección de phishing, aplicar políticas restrictivas sobre la ejecución de atajos y archivos descargados de Internet, mantener EDR/antimalware moderno con capacidad de análisis en memoria, y usar autenticación multifactor y controles estrictos sobre tokens y APIs de terceros.
Para quien gestiona defensas corporativas y gubernamentales, la Agencia de Seguridad Cibernética de EE. UU. (CISA) ofrece recursos y consejos sobre cómo reducir el riesgo de campañas de phishing y ataques con herramientas vivas en memoria; ver sus recomendaciones puede ser un buen punto de partida: CISA – Stop.Think.Connect: Guía contra el phishing. En paralelo, Microsoft publica documentación sobre buenas prácticas en el uso seguro de PowerShell y mitigaciones frente a abusos en memoria, material útil para endurecer vectores de ejecución que suelen explotar los atacantes: Microsoft – PowerShell: prácticas de seguridad.
Más allá de las mejoras técnicas, hay una discusión más amplia que empieza a tomar fuerza: cómo gestionar el riesgo de que herramientas de inteligencia artificial faciliten la creación de malware. No se trata solo de bloquear ejecutables, sino de entender que las barreras de entrada para construir y escalar campañas maliciosas se reducen. Empresas, administraciones y proveedores de plataformas deben colaborar para detectar abusos de APIs, restringir el uso de credenciales que permitan canales de C2 y desarrollar firmas heurísticas que detecten patrones de comportamiento frente a la mera presencia de un artefacto.
El caso de APT36 muestra que la amenaza evoluciona adaptándose a la economía de la atención: inundar con variantes superficiales y confiar en el ruido para evitar ser detectado. La respuesta eficaz implica modernizar los controles, priorizar la prevención del phishing y centrarse en la detección basada en anomalías y en el contexto.
Si gestionas seguridad en una organización, conviene revisar configuraciones de correo, endurecer permisos sobre servicios en la nube, auditar integraciones con Slack/Discord/Supabase/Firebase y reforzar la visibilidad en los endpoints y en la red. Para un análisis técnico más profundo y ejemplos concretos de los componentes observados puedes consultar el informe de Bitdefender y los análisis complementarios publicados por equipos de investigación de la industria de la ciberseguridad.
La lección que deja este episodio es doble: por un lado, la inteligencia artificial facilita a los atacantes la experimentación y la producción en masa; por otro, las defensas contemporáneas tienen herramientas y tácticas para mitigar ese riesgo, siempre que se actualicen y se priorice la detección por comportamiento y la gestión de identidad y accesos. En ciberseguridad, como en otros campos, la escala y la automatización cambian el campo de juego, y la mejor respuesta es adaptar las defensas a esa nueva realidad.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...