Un nuevo informe de Aqua Security revela detalles sobre Koske, un malware sofisticado basado en Linux que representa una nueva generación de amenazas cibernéticas: aquellas que se desarrollan con el apoyo directo de la inteligencia artificial.

Koske está diseñado para infiltrarse en sistemas Linux vulnerables y utilizar sus recursos para el minado de criptomonedas, adaptándose según las capacidades del dispositivo. Ya sea con CPU o GPU, el malware ajusta su operación para minar divisas como Monero, Ravecoin, Nexa, Tari, Zano, entre otras.

Los investigadores de Aqua observaron que Koske se propaga a través de instancias mal configuradas de JupyterLab, una plataforma de desarrollo basada en la web. Una vez que compromete un sistema, instala puertas traseras y descarga dos archivos en formato JPEG que parecen inofensivos. Sin embargo, estas imágenes, que muestran una foto de un panda, son en realidad archivos poliglotas: ocultan shellcode malicioso que descarga componentes adicionales del malware, incluido un rootkit.

Lo que distingue a Koske es la sospecha de que fue creado con la ayuda de inteligencia artificial. Aqua Security sostiene que los desarrolladores podrían haber utilizado modelos de lenguaje como los LLM para generar cargas útiles modulares, diseñar mecanismos de persistencia difíciles de detectar y permitir que el malware se adapte automáticamente a distintos entornos del sistema.

Por ejemplo, Koske emplea tres métodos diferentes para verificar si puede acceder a su cuenta de GitHub, desde donde obtiene nuevas cargas útiles. Si no tiene éxito, ajusta automáticamente la configuración del proxy, elimina reglas del firewall iptables e incluso modifica la configuración DNS. Además, puede descubrir y utilizar proxies funcionales para seguir comunicándose con su servidor de control (C2).

Según Aqua, varios indicios apuntan al uso de IA en la escritura del código, como los comentarios extensos y bien estructurados, la modularidad del software y un flujo lógico basado en prácticas recomendadas de scripting defensivo.

La empresa advierte que el uso de IA en el desarrollo de malware apenas comienza. La verdadera amenaza está en la evolución hacia software malicioso que interactúa en tiempo real con modelos de inteligencia artificial, adaptando su comportamiento dinámicamente según el entorno. Esta capacidad podría significar un cambio radical en las tácticas de los atacantes y poner en riesgo a miles de sistemas a nivel global.

Fuente: https://www.securityweek.com/sophisticated-koske-linux-malware-developed-with-ai-aid