Un nuevo troyano para macOS, bautizado como Gaslight, utiliza prompt injection para sabotear las herramientas de análisis asistidas por inteligencia artificial. No se esconde del sandbox, sino que engaña al agente de IA que examina su código. Los investigadores de SentinelOne lo atribuyen con alta confianza a un actor vinculado a Corea del Norte.
He visto de todo en dos décadas analizando malware. Troyanos que detectan el entorno de análisis y se duermen. Ransomware que borra logs. Backdoors envueltas en siete capas de ofuscación. Pero nunca un bicho diseñado para hacer gaslighting a un LLM. Esa es la novedad.
Anatomía de un gaslight digital: cómo funciona la inyección de prompt
El binario, escrito en Rust —un lenguaje cada vez más habitual en el arsenal norcoreano—, es en esencia un stealer con capacidades de backdoor. Roba credenciales y datos del sistema comprometido. Su funcionalidad básica no es revolucionaria; la he descrito en decenas de columnas. Lo que distingue a Gaslight es un bloque de 3,5 kilobytes incrustado directamente en el ejecutable.
Ese bloque contiene 38 mensajes falsos de sistema diseñados para confundir a las herramientas de triaje asistidas por LLM. Los mensajes simulan volcados de memoria, avisos de token expirado, fallos de conexión a Redis, alertas de inyección SQL y errores de pipeline de compilación. Nada de eso ocurre realmente durante la ejecución del malware. Está ahí solo para envenenar el análisis automatizado.
SentinelOne lo explica con una frase que me parece brillante: ‘Ataca la percepción del agente, no el sandbox en el que se ejecuta’. Si un asistente de IA examina las cadenas del binario, se topa con lo que parece una sesión de análisis fallida —tokens caducados, procesos matados por falta de memoria, disco lleno— y puede decidir abortar, truncar o rechazar el análisis. Justo lo que el atacante busca.
La técnica del prompt injection no es nueva en el mundo de los LLM, pero verla aplicada al malware de forma tan deliberada es un salto cualitativo. Los investigadores de SentinelOne no han demostrado que el método funcione contra plataformas comerciales de análisis, pero la sola existencia del intento indica que los actores de amenazas ya están pensando en cómo romper las defensas asistidas por IA.
No es una herramienta de evasión de sandbox tradicional. Es otra cosa. Es guerra psicológica contra el analista automatizado.
La carga maliciosa incluye marcadores como {{DATA}} y formato Markdown para simular legitimidad. Falsos informes de desarrollo. Plantillas de error. Códigos de depuración inventados. El atacante ha dedicado tiempo a construir una narrativa de fallo técnico convincente, no solo a ofuscar la carga útil.
El historial norcoreano: Rust, macOS y la evasión sigilosa
Corea del Norte lleva años invirtiendo en malware para macOS. En 2022 vimos a RustBucket, un backdoor también escrito en Rust, y a KandyKorn en 2023. La elección del lenguaje no es casual: Rust ofrece rendimiento cercano a C pero con mecanismos de seguridad de memoria que dificultan el análisis inverso automatizado y, de paso, reducen los falsos positivos en las herramientas de detección basadas en firmas.
El Grupo Lazarus —y sus subgrupos como BlueNoroff— ha perfeccionado un oficio del ciberespionaje orientado al robo de criptomonedas y a la intrusión persistente en objetivos financieros y tecnológicos. Les he seguido la pista desde el ataque al Banco Central de Bangladesh en 2016. Su evolución técnica es notable, pero también lo es su audacia conceptual.
Gaslight no intenta esconderse. Intenta que sea el propio analista —humano o de IA— quien decida no mirar. Y eso es sutilmente distinto a todo lo anterior.
El sector de la ciberseguridad asiste a un cambio de paradigma. Según datos de Picus, los equipos de seguridad solo registran el 54% de los ataques exitosos y alertan sobre apenas el 14%. El resto se mueve por el entorno sin ser visto. Si a esa ceguera parcial le sumamos herramientas de triaje que pueden ser engañadas, el panorama se vuelve preocupante.
Le adelanto que esta tendencia no va a quedarse en macOS ni en actores norcoreanos. En cuanto un grupo APT sofisticado —APT29, por ejemplo— valide que el método tiene recorrido, veremos variantes para Windows y Linux en semanas. El oficio del espionaje siempre ha sido sigiloso; ahora aspira a ser también epistémico: no solo ocultar lo que haces, sino hacer dudar a quien te vigila de si está viendo algo real.
Dossier Moncloa: Ojos en la Sombra
SentinelOne ha atribuido Gaslight con alta confianza a un actor vinculado a Corea del Norte. En el mundo de la inteligencia de señales, hablar de ‘alta confianza’ en una atribución técnica significa que hay coincidencias de infraestructura de mando y control, reutilización de código y patrones de ofuscación que solapan con campañas anteriores del régimen. No es una sospecha: es una conclusión respaldada por telemetría.
El vector de amenaza aquí es doble: por un lado, un stealer con capacidad de backdoor; por otro, la técnica de evasión de análisis mediante prompt injection. Esta última es la que más me inquieta. No porque hoy sea efectiva —aún no hay evidencia pública de que burle plataformas de producción—, sino porque demuestra una comprensión sofisticada del nuevo ecosistema defensivo. Quien ha diseñado Gaslight sabe cómo funciona un pipeline de análisis con LLM. Y sabe cómo romperlo.
Las agencias implicadas son claras. Atacante: APT atribuida a Corea del Norte, probablemente un subgrupo de Lazarus. Defensores: SentinelOne y, por extensión, el ecosistema global de ciberseguridad que utiliza herramientas de triaje con IA. Terceros observadores: el CCN-CERT, que monitoriza patrones de ataque emergentes para el sector público español y las infraestructuras críticas, y, cómo no, la NSA y el GCHQ, socios de Five Eyes que llevan años cartografiando las capacidades ofensivas de Pyongyang.
En los pasillos del CCN-CERT, este tipo de innovación se sigue con atención. España alberga más de 8.000 infraestructuras críticas, muchas de ellas atacables a través de internet. Lo escribí en El quinto elemento y lo sostengo: el próximo 11S no empezará con con un avión, sino con un clic en el sistema de alguien que no actualizó a tiempo. Gaslight no es ese ataque, pero muestra hacia dónde se orienta el adversario.
La clasificación estimada del material técnico involucrado —el análisis de SentinelOne, los indicadores de compromiso, los hashes de las muestras— es Uso Restringido pero Sensible. No alcanza el nivel de Secreto porque estamos ante un informe de una empresa privada, no ante inteligencia gubernamental. Pero si yo dirigiera un SOC en una entidad financiera española, trataría los IoCs de Gaslight como si llevaran sello de Confidencial.
Hay un precedente histórico que me viene a la cabeza. En 2010, Stuxnet no solo atacaba centrifugadoras; ocultaba su presencia mostrando datos falsos a los operadores mientras las destrozaba. Aquello era engaño industrial. Gaslight es su heredero conceptual en la era de la IA: engaño al analista automatizado. La diferencia es que Stuxnet fue una operación de Estado de primer orden —Olympic Games, con la CIA y el Mossad tras el código— y Gaslight es, de momento, un experimento táctico de un régimen aislado. Pero la semilla está plantada.
No me cabe duda de que veremos más muestras de esta familia en los próximos meses. El CCN-CERT elevará alertas. Los fabricantes de EDR ajustarán sus modelos de lenguaje para detectar prompt injection en cadenas estáticas. Y, como siempre en este oficio, la ventaja será de quien innove más rápido. Dejo una pregunta en el aire: ¿están nuestros sistemas de defensa preparados para un adversario que ataca no el código, sino la confianza del analista? Me temo que no.
