Investigadores de ciberseguridad han identificado una intrusión en la que un atacante desconocido empleó un script de PowerShell codificado con Vibe para realizar la enumeración de Active Directory (AD).
Según los investigadores de Huntress, Jevon Ang y Dray Agha, «el script buscó el controlador de dominio (DC) y mapeó usuarios, equipos y dominios, antes de crear un directorio y exportar varios archivos, y finalmente crear AD_Report.html para medir el éxito del intento de enumeración».
La secuencia de ataque comenzó cuando el atacante obtuvo acceso a través del Protocolo de Escritorio Remoto (RDP) a un servidor Windows unido al dominio utilizando credenciales comprometidas previamente, e instaló las herramientas en la carpeta «C:\ProgramData\». El incidente ocurrió a principios de junio de 2026.
Esto incluyó una carga útil generada por inteligencia artificial (IA) para mapear el entorno de Active Directory. La evaluación se sustenta en múltiples indicadores, como el título de la iteración de la solicitud, cadenas de texto de marcador de posición, código excesivamente complejo con varios métodos para localizar un controlador de dominio y una salida de consola con formato de color cian, verde, rojo y amarillo.
Huntress caracterizó el script de PowerShell personalizado como «muy agresivo» y «ruidoso», empleando un «mecanismo de reserva en cascada de cinco pasos» para facilitar el reconocimiento y el descubrimiento. Su título es «100% Working AD Information Gathering Script – FULLY FIXED», lo que sugiere una interacción continua con un modelo de lenguaje extenso (LLM).
Una vez identificado el controlador de dominio principal, inició una rutina de recopilación de datos para obtener sistemáticamente usuarios, equipos, grupos, unidades organizativas (OU) y relaciones de confianza de Active Directory, almacenando los detalles en un directorio temporal.
Aproximadamente 30 minutos después, el atacante procedió a desplegar s5cmd, una herramienta legítima para operaciones masivas de archivos, junto con SharpShares, una utilidad de enumeración de recursos compartidos de red basada en C#, para identificar repositorios de datos accesibles para los usuarios.
En la fase final, los datos se guardaron en archivos CSV, se archivaron y se extrajeron a un servidor remoto, no sin antes crear un archivo HTML que resumía el robo de datos en forma de informe de inventario de Active Directory.
Este caso evidencia que los ciberdelincuentes están incorporando a su arsenal malware codificado mediante inteligencia artificial, generado con la ayuda de modelos de IA, aunque la tecnología no se esté utilizando de formas nunca antes vistas. Lo relevante es que reduce las barreras de entrada para el cibercrimen, permitiendo que actores menos experimentados desarrollen herramientas altamente sofisticadas y evasivas con un esfuerzo mínimo.
En un informe publicado la semana anterior, Sygnia reveló que los atacantes con IA no necesariamente requieren malware novedoso ni vulnerabilidades de día cero, sino que el cambio fundamental radica en que las intrusiones cibernéticas pueden orquestarse a una velocidad y escala mayores de las que los defensores pueden contener.
La empresa de respuesta a incidentes informó haber detectado un ataque en la nube asistido por IA que, en aproximadamente 72 horas, se propagó desde el acceso inicial hasta una vulneración generalizada de un entorno de gran tamaño basado en Amazon Web Services (AWS). Se estima que el objetivo final fue económico, utilizando el acceso a la infraestructura en la nube de la víctima como herramienta de extorsión.
Para ejercer mayor presión sobre las víctimas, el atacante realizó varias acciones:
- Denegar el acceso a los buckets de S3
- Limitar los servicios o contenedores de ECS a una capacidad máxima de cero
- Crear reglas ACL para bloquear el acceso a la red
- Vaciar las colas de SQS
Sygnia señaló que «la importancia no radicaba en que la IA introdujera nuevas técnicas de ataque, ya que cada acción observada se correspondía con comportamientos adversarios ya conocidos, sino en que redujo el tiempo y el esfuerzo necesarios para implementar dichas técnicas en un entorno complejo».
Con Información de blog.segu-info.com.ar
