Arkanix, un nuevo infostealer creado con IA para una campaña de un solo intento

Aunque la actividad de “Arkanix Stealer” fue efímera y su canal de distribución central, así como el panel de control en Discord, fueron dados de baja luego de solo dos meses, expertos apuntan a que el desarrollo de este malware incluyó el uso de inteligencia artificial, lo que plantea nuevos riesgos en el ámbito del cibercrimen. Según detalló Kaspersky, los rastros de IA hallados en el código de “Arkanix” sugieren que una parte relevante de su confección habría utilizado un modelo de lenguaje de gran tamaño (LLM, por sus siglas en inglés), facilitando tanto la sofisticación de sus funciones como la reducción significativa de tiempos y costos para sus desarrolladores.

Arkanix fue detectado por primera vez en octubre del año pasado, cuando múltiples anuncios comenzaron a circular en foros clandestinos de internet. De acuerdo con Kaspersky, el infostealer se ofrecía bajo el esquema de "malware como servicio", modalidad que permite a personas sin conocimientos avanzados de programación adquirir herramientas de ataque digital preparadas para su despliegue. El medio de contacto establecido con los interesados era un servidor de Discord, donde los desarrolladores prometían futuras actualizaciones y la inclusión de nuevas funciones, como un “crypter”—elemento no concretado—y lanzaron un programa de referidos con incentivos, incluyendo periodos de prueba gratuitos.

La funcionalidad del software permitía extraer una variedad de datos personales de los dispositivos infectados. Según la investigación de Kaspersky, las capacidades abarcaban recolección de información del sistema operativo, historial y credenciales almacenadas en navegadores, contraseñas de servicios de redes privadas virtuales (VPN), cuentas de plataformas de videojuegos, así como el contenido de carteras de criptomonedas. Estas características situaron a Arkanix en la categoría de infostealers multifunción, capaces de vulnerar múltiples vectores dentro de los dispositivos de las víctimas.

Se identificaron al menos dos variantes de Arkanix: una versión nativa escrita en C++, diseñada para operar de forma eficiente y dotada de capacidad para capturar imágenes de la pantalla, y otra desarrollada en Python, la cual presentaba ajustes configurables por el usuario y estaba orientada a infectar víctimas mediante campañas de phishing. Los anuncios vinculados con el malware detallaban las ventajas de cada versión y promovían la interacción directa con los operadores a través del servidor de Discord. Kaspersky subrayó que, pese a la ostensible preparación del entorno de ventas online, el periodo de actividad pública del sistema fue breve, con una orientación clara a obtener ganancias rápidas antes de su desmantelamiento.

La participación de modelos de inteligencia artificial en la programación del infostealer ha supuesto, según los especialistas citados por Kaspersky, una aceleración en los procesos habituales de desarrollo de malware. “Podría haber reducido drásticamente el tiempo y los costes de desarrollo”, indicaron en el blog Securelist de la compañía. A partir de los rastros detectados por el equipo de investigación, es posible inferir que la integración de IA facilitó la automatización de tareas complejas y la producción masiva de código malicioso sin la necesidad de una prolongada intervención humana.

El análisis realizado por la empresa también resalta la tendencia del cibercrimen a incorporar tecnología avanzada en la fabricación de herramientas de ataque, aumentando así la eficiencia y el alcance de estos instrumentos ilícitos. Kaspersky detalló que Arkanix fue presentado como una plataforma de extorsión digital “de un solo intento”; es decir, no se proyectaba como una amenaza persistente en el tiempo ni con múltiples evoluciones, sino como una campaña puntual dirigida a capitalizar en un lapso breve antes de perder efectividad por la exposición en comunidades de ciberseguridad.

A pesar de su discontinuidad rápida, la aparición de Arkanix constituye un ejemplo del dinamismo de los mercados clandestinos de ciberdelincuencia, donde las últimas innovaciones tecnológicas pueden convertirse en servicios comercializables de manera casi inmediata. Según lo publicado por Kaspersky, el caso deja en evidencia el modo en que la inteligencia artificial se está infiltrando en etapas clave de la producción de software malicioso, alterando los tiempos y métodos que tradicionalmente habían caracterizado la actividad de desarrollo de malware.

La investigación de Kaspersky concluye que la rápida propagación y el retiro veloz de Arkanix no impidieron que el programa cumpliera su objetivo: ofrecer a potenciales atacantes un recurso sofisticado para el robo de grandes volúmenes de datos personales y credenciales digitales. Además, este fenómeno refuerza la preocupación de los expertos en ciberseguridad respecto del papel de la inteligencia artificial en la próxima generación de ciberataques. Expone, de acuerdo con lo señalado por el medio, la necesidad de elevar la vigilancia y adaptación de las defensas frente a la proliferación de herramientas que incorporan IA en su diseño y operación.