OpenAI prohíbe las cuentas de ChatGPT empleadas por hackers maliciosos norcoreanos
La empresa matriz de ChatGPT, OpenAI, ha confirmado que detectó y bloqueó a varios grupos de hackers maliciosos norcoreanos que empleaban su plataforma de inteligencia artificial, para investigar posibles objetivos y desarrollar métodos de intrusión en redes vulnerables.
En su informe de inteligencia sobre amenazas del mes de febrero de este 2025, la compañía ha declarado que han suspendido cuentas que mostraban actividad potencialmente vinculada a actores de amenazas, los cuales están asociados públicamente con Corea del Norte.
Entre los grupos identificados se encuentran VELVET CHOLLIMA, también conocido como Kimsuky o Emerald Sleet y STARDUST CHOLLIMA, alias APT38 o Sapphire Sleet. Ambos grupos tienen vínculos confirmados con el régimen de este país asiático. Además, estas cuentas han sido detectadas gracias a información proporcionada por un socio de la industria de ciberseguridad.
Los ciberdelincuentes han utilizado ChatGPT para la investigación de herramientas de ciberataque, en donde exploraron técnicas y software para futuros ataques. Además, investigaron temas relacionados con criptomonedas, un frecuente interés en grupos patrocinados por el régimen norcoreano, dado su amplio historial de robo de activos digitales.
Del mismo modo, los grupos de este país solicitaban asistencia en programación, mostrando interés en los siguientes temas:
Uso de herramientas de administración remota de código abierto, mejor conocidas como RAT.
Depuración y desarrollo de herramientas para ataques de fuerza bruta contra el Protocolo de Escritorio Remoto o RDP.
Exposición de URLs maliciosas; mientras depuraban técnicas de ataques para sistemas operativos macOS, los ciberdelincuentes revelaron enlaces a binarios maliciosos desconocidos hasta entonces por proveedores de seguridad informática.
Estos archivos ejecutables han sido compartidos con la comunidad en general, lo que ha permitido a varias organizaciones mejorar sus defensas y proteger a posibles víctimas. Del mismo modo, la empresa OpenAI descubrió también que los atacantes norcoreanos usaban las cuentas suspendidas para los siguientes objetivos:
Identificar vulnerabilidades en un gran número de aplicaciones.
Desarrollar un cliente RDP en C# y solicitar códigos para evadir alertas de seguridad.
Generar scripts de PowerShell para conexiones RDP, transferencia de archivos y ofuscación de contenido HTML.
Diseñar cargas ofuscadas para ejecución remota.
Preparar campañas de phishing dirigidas a inversores de criptomonedas y otros objetivos.
Redactar correos electrónicos engañosos para extraer información confidencial.
Aunado a esto, OpenAI identificó también diversas cuentas vinculadas a un esquema de empleados de TI norcoreanos que engañaban a empresas occidentales para contratarlos, lo cual generaba ingresos para el régimen de ese país.
Tras conseguir trabajo, emplearon lo modelos de OpenAI para tareas laborales como escribir código, resolver problemas técnicos y comunicarse con varios trabajadores de la empresa, explicaron los portavoces de OpenAI.
Igualmente, generaban excusas elaboradas para justificar comportamientos sospechosos, como evitar videollamadas, acceder a sistemas desde ubicaciones no autorizadas o trabajar en horarios inusuales para las compañías en donde trabajaban.
Desde su último informe en el mes de octubre del año pasado, OpenAI también ha desarticulado 2 campañas chinas. La primera de ellas es “Peer Review”, la cual se centraba en la investigación y desarrollo de herramientas para vigilancia. La segunda tenía por nombre “Sponsored Discontent”, la cual generaba artículos en español con mensajes antiestadounidenses.
Antes de esto, la empresa ya había neutralizado más de 20 campañas asociadas a operaciones encubiertas de hackers maliciosos iraníes y chinos, respaldados por sus respectivos gobiernos.
