OpenAI bloquea cuentas de hackers norcoreanos que usaban ChatGPT para ciberataques

OpenAI ha bloqueado varias cuentas de hackers norcoreanos que intentaban utilizar ChatGPT para planificar ciberataques y actividades maliciosas.

OpenAI ha tomado medidas drásticas al bloquear cuentas de varios grupos de hacking norcoreanos que intentaron utilizar su plataforma ChatGPT para investigar futuros objetivos y métodos de ciberataques. En su informe de inteligencia de amenazas de febrero de 2025, la empresa confirmó que "prohibió cuentas que mostraban actividad potencialmente asociada a actores de amenaza vinculados públicamente con la República Popular Democrática de Corea (DPRK)".

Las cuentas bloqueadas estaban relacionadas con actores amenazantes conocidos como VELVET CHOLLIMA (también conocido como Kimsuky, Emerald Sleet) y STARDUST CHOLLIMA (conocido como APT38, Sapphire Sleet). Estas cuentas no solo se dedicaban a investigar herramientas para ataques cibernéticos, sino que también utilizaron ChatGPT para acceder a información sobre temas relacionados con criptomonedas, un interés común entre los grupos patrocinados por el estado norcoreano.

Además, los actores maliciosos emplearon la herramienta para recibir asistencia en programación, incluyendo ayuda en el uso de herramientas de administración remota (RAT), así como para depuración, investigación y desarrollo de herramientas de seguridad de código abierto disponibles públicamente que podrían emplearse en ataques de fuerza bruta a través del Protocolo de Escritorio Remoto (RDP).

Los analistas de amenazas de OpenAI también encontraron evidencia de que los actores norcoreanos revelaron URLs de preparación para binarios maliciosos que eran desconocidos por los proveedores de seguridad en ese momento, mientras depuraban ubicaciones de puntos de extensión de autoinicio y técnicas de ataque en macOS. Estas URLs y los archivos ejecutables compilados fueron enviados a un servicio de escaneo en línea para facilitar su difusión con la comunidad de seguridad en general, ayudando a que algunos proveedores puedan detectar estos binarios y proteger a posibles víctimas de ataques futuros.

Entre otras actividades maliciosas que OpenAI descubrió en relación con el uso de cuentas prohibidas por parte de estos actores, se halló un posible esquema de trabajadores de TI norcoreanos. Este esquema parece tener todas las características de esfuerzos por obtener ingresos para el régimen de Pyongyang mediante el engaño a empresas occidentales para que contrataran a norcoreanos. "Después de parecer que ganaban empleo, usaron nuestros modelos para realizar tareas relacionadas con el trabajo, como escribir código, solucionar problemas y comunicarse con compañeros de trabajo", explicó OpenAI. "También utilizaron nuestros modelos para idear historias de cobertura para justificar comportamientos inusuales, como evitar videollamadas, acceder a sistemas corporativos desde países no autorizados o trabajar en horarios irregulares".

Desde octubre de 2024, OpenAI también ha detectado y interrumpido dos campañas originadas en China, bajo los nombres de "Peer Review" y "Sponsored Discontent". Estas campañas utilizaron modelos de ChatGPT para investigar y desarrollar herramientas vinculadas a operaciones de vigilancia, así como para generar artículos en español de desinformación antiamericana. Desde el inicio de 2024, OpenAI ha interrumpido más de veinte campañas relacionadas con operaciones cibernéticas y operaciones de influencia encubierta asociadas a hackers patrocinados por el estado iraní y chino.