Investigadores de Trend Micro identificaron dos campañas de ciberataques denominadas SHADOW-AETHER-040 y SHADOW-AETHER-064, dirigidas contra entidades gubernamentales y organizaciones financieras en Latinoamérica.
Los atacantes emplearon inteligencia artificial “agentic AI” para automatizar operaciones ofensivas, desde el acceso inicial hasta la exfiltración de información, convirtiéndose en uno de los primeros casos documentados de uso de IA para ejecutar ataques completos de forma autónoma.
Las campañas afectaron principalmente entidades gubernamentales en México y organizaciones financieras en Brasil, utilizando herramientas avanzadas para movimiento lateral, túneles SOCKS5 y despliegue de webshells.
Los investigadores resaltan que el uso de IA permitió generar scripts y malware personalizados en tiempo real, dificultando la detección mediante herramientas tradicionales basadas en firmas.
A continuación, compartimos IoC (Indicators of Compromise) para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Los atacantes comprometieron servidores y aplicaciones expuestas para desplegar webshells y herramientas de tunneling como Chisel y Neo-reGeorg, permitiéndoles mantener acceso persistente dentro de las redes afectadas y ocultar el tráfico malicioso mediante conexiones SOCKS5 y ProxyChains.
Posteriormente, utilizaron inteligencia artificial para generar scripts y malware personalizados en tiempo real, facilitando actividades de movimiento lateral, robo de credenciales y exfiltración de información sensible.
Estas campañas estuvieron dirigidas principalmente a entidades gubernamentales y organizaciones financieras de Latinoamérica, dificultando la detección mediante controles tradicionales basados en firmas.
