NARCO OBSERVATORIO
🛡 THREAT INTELLIGENCE 🛡

Investigadores afirman que campaña de robo de credenciales utilizó IA para evadir detección en "cada etapa".

🛡CyberObservatorio
Idioma
◢ THREAT INTELLIGENCE ◣

Investigadores afirman que campaña de robo de credenciales utilizó IA para evadir detección en "cada etapa".

⟫ 30/03/2026 ⟫ djohnson
Fuente: CyberScoop

**Una nueva amenaza en el panorama de la ciberseguridad: la campaña de robo de credenciales “DeepLoad”**

En la era digital actual, donde la interconexión entre empresas y organizaciones es constante, la ciberseguridad se ha convertido en un aspecto fundamental para la protección de datos sensibles y la continuidad operativa. Recientemente, se ha identificado una nueva campaña de malware, denominada “DeepLoad”, que ha estado infectando entornos de TI empresariales, poniendo en riesgo la integridad de las credenciales de acceso y, por ende, de los sistemas informáticos de numerosas organizaciones. Esta situación no solo afecta a las empresas directamente atacadas, sino también a sus clientes y socios, generando un efecto dominó que puede comprometer la confianza en el ecosistema digital.

Según un informe publicado el lunes por los investigadores de ReliaQuest AI, Thassanai McCabe y Andrew Currie, la particularidad más relevante de este ataque radica en su utilización de inteligencia artificial (IA) y técnicas de ingeniería sofisticadas para eludir los controles que la mayoría de las organizaciones emplean para protegerse. Este enfoque transforma una simple acción del usuario en un acceso persistente y robador de credenciales, lo que incrementa significativamente el riesgo de una brecha de seguridad.

DeepLoad se distribuye a través de técnicas de ingeniería social denominadas “QuickFix”, que incluyen falsos avisos de navegador o páginas de error diseñadas para engañar a los usuarios. Si la víctima cae en esta trampa, los desarrolladores de malware—o más probablemente sus herramientas de IA—han invertido un esfuerzo considerable en crear evasiones a la tecnología de seguridad en "cada etapa" de la cadena de ataque. Este loader, por ejemplo, "entierra el código funcional bajo miles de asignaciones de variables sin sentido", permitiendo que la carga útil se ejecute detrás de un proceso de pantalla de bloqueo de Windows que generalmente es pasado por alto por las herramientas de seguridad que monitorizan amenazas.

ReliaQuest señala que "el volumen absoluto" de este código de relleno sugiere que la participación humana en el proceso de creación es mínima. Los investigadores afirman con alta confianza que la IA ha sido utilizada para construir esta capa de ofuscación. Como resultado, las organizaciones deben prepararse para actualizaciones frecuentes del malware y una adaptación más rápida de las coberturas de detección entre oleadas de ataques.

DeepLoad tiene la capacidad de robar credenciales a través de un keylogging en tiempo real. Incluso si los equipos de seguridad bloquean el loader inicial, este malware ha demostrado ser persistente, logrando sobrevivir a contingencias de respaldo. McCabe y Currie describen que, en los incidentes investigados, el loader se propagó a unidades USB conectadas, lo que sugiere que el sistema inicial no es el único afectado. “Incluso después de la limpieza, un mecanismo de persistencia oculto que no fue abordado por los flujos de trabajo de remediación estándar reejecutó el ataque tres días después”, apuntan los investigadores.

La investigación de ReliaQuest añade más evidencias de que, en el último año, algunas prácticas tradicionales de ciberseguridad, como la búsqueda de firmas de malware o patrones basados en archivos, podrían estar quedando obsoletas. Los modelos de IA son capaces de generar variaciones infinitas de herramientas de ataque con firmas únicas, lo que dificulta considerablemente la detección y respuesta de los sistemas de defensa.

Otras organizaciones, como Google y Anthropic, también han encendido las alarmas sobre cómo los ciberataques potenciados por IA están reduciendo drásticamente el tiempo que tienen los defensores para responder a un compromiso. Durante la Conferencia RSA en San Francisco este año, expertos afirmaron a CyberScoop que los próximos dos años se perfilan como una “tormenta perfecta” que favorece la ofensiva impulsada por IA, con cibercriminales y estados nación adaptando más rápidamente esta tecnología para aumentar la velocidad y escala de sus ataques en comparación con sus contrapartes defensivas.

McCabe y Currie enfatizan que el uso continuo de la IA para frustrar el monitoreo de análisis estático implica que los defensores deberán cambiar su enfoque hacia otros indicadores de compromiso. “Basado en lo que hemos observado, las organizaciones deben priorizar la detección conductual y en tiempo de ejecución, no la exploración basada en archivos, para detectar esta campaña (y otras similares) a tiempo”, concluyen.

En conclusión, la campaña DeepLoad representa un cambio alarmante en la naturaleza de los ataques cibernéticos, haciendo hincapié en la necesidad urgente de revisar y actualizar las estrategias de defensa en un paisaje de amenazas en constante evolución. Las organizaciones deben adoptar un enfoque proactivo y adaptativo para salvaguardar sus sistemas, preparándose no solo para el presente, sino para los desafíos futuros que la inteligencia artificial traerá al ámbito de la ciberseguridad.

◢ THREAT INTELLIGENCE ◣

Researchers say credential-stealing campaign used AI to build evasion ‘at every stage’

⟫ 30/03/2026 ⟫ djohnson
Source: CyberScoop

A new malware-based credential-stealing campaign, which researchers are calling “DeepLoad,” has been infecting enterprise business IT environments over the past In areportreleased Monday, ReliaQuest AI researchers Thassanai McCabe and Andrew Currie say the most relevant feature of this attack is the way it uses artificial intelligence and other engineering “to defeat the controls most organizations rely on, turning one user action into persistent, credential-stealing access.” DeepLoad is delivered to victims via “QuickFix” social-engineering techniques, such as fake browser prompts or error pages. If the user falls for the scheme, the malware developers — or more likely their AI tools — put a lot of work into building evasion of security technology “at every stage” of the attack chain. The loader “buries functional code under thousands of meaningless variable assignments,” and the payload runs behind a Windows lock screen process that is “overlooked by security tools” monitoring for threats. ReliaQuest said “the sheer volume” of code padding likely rules out human-only involvement. “We assess with high confidence that AI was used to build this obfuscation layer,” McCabe and Currie write. “If so, organizations should expect frequent updates to the malware and less time to adapt detection coverage between waves.” DeepLoad can steal credentials through real-time keylogging, and even if security teams block the initial loader, it was able to persist through backup contingencies. “In the incidents we investigated, the loader spread to connected USB drives, which means the initial host is unlikely to be the only impacted system,” McCabe and Currie wrote. “Even after cleanup, a hidden persistence mechanism not addressed by standard remediation workflows re-executed the attack three days later.” ReliaQuest’s research offers more evidence that over the past year, some traditional static cybersecurity practices — such as searching for malware signatures or file-based patterns — may be fast becoming obsolete, as AI models can spin out endless variations of attack tooling with unique signatures. Other organizations like Google and Anthropic have been sounding the alarm thatAI-enhanced cyberattacksare dramaticallyshrinking the timedefenders must respond to a compromise. At the RSA Conference in San Francisco this year,experts told CyberScoopthat the next two years are set to be a “perfect storm” favoring AI-powered offense, with cybercriminals and nation-states more quickly adapting the technology to add greater speed and scale to their attacks than their defensive counterparts. McCabe and Currie say the likely continued use of AI to frustrate static analysis monitoring means that defenders will need to shift focus to other indicators of compromise. “Based on what we’ve observed, organizations must prioritize behavioral, runtime detection—not file-based scanning—to catch this campaign (and similar ones) early,” they wrote. The postResearchers say credential-stealing campaign used AI to build evasion ‘at every stage’appeared first onCyberScoop.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD