Una investigación de SentinelOne expone una sofisticada herramienta que utiliza modelos de lenguaje y técnicas evasivas para automatizar el envío de spam a cientos de miles de sitios web.
AkiraBot es el nombre de un framework malicioso que está marcando un nuevo hito en la automatización del spam web. Según revela SentinelOne, esta herramienta desarrollada en Python ha sido utilizada para lanzar campañas masivas de spam contra más de 400.000 dominios desde septiembre de 2024, logrando insertar mensajes promocionales en al menos 80.000 sitios.
Lejos de ser una herramienta rudimentaria, AkiraBot destaca por su integración con la API de OpenAI, permitiéndole generar mensajes únicos para cada página web que ataca. A través de scraping del contenido del sitio, el bot adapta mensajes de marketing con apariencia legítima para promocionar supuestos servicios SEO bajo dominios como useakira[.]com y servicewrap[.]com.
Un bot con IA generativa y evasión avanzada
El uso de modelos LLM (modelos de lenguaje de gran tamaño) le permite a AkiraBot generar textos convincentes y variados, evadiendo eficazmente los filtros antispam que suelen bloquear contenido repetitivo. Cada mensaje es personalizado mediante un prompt que transforma plantillas genéricas en textos adaptados al contexto de cada sitio objetivo.
Además, AkiraBot ha sido diseñado para superar barreras técnicas comunes. Utiliza navegadores headless, manipulación de fingerprints de navegador, proxies rotatorios y múltiples servicios externos para resolver CAPTCHAs, como FastCaptcha y NextCaptcha. También emplea scripts que modifican el DOM del sitio web en tiempo real para simular el comportamiento de un usuario humano.
Infraestructura y control remoto
El bot es operado desde sistemas Windows, donde se ejecutan distintos scripts y versiones del framework. Incluso se han identificado funciones que permiten al operador gestionar métricas y resultados directamente desde Telegram, mediante bots automatizados que reportan datos en tiempo real.
Según SentinelOne, todos los scripts analizados comparten las mismas credenciales de proxy y claves API, lo que indica que un único actor o grupo está detrás del proyecto. También se han identificado dominios relacionados con campañas previas de malvertising y otros esquemas fraudulentos.
¿Estrategia de marketing o esquema fraudulento?
Aunque el contenido del spam promociona servicios de posicionamiento SEO, la forma automatizada, masiva y evasiva en la que se difunden estos mensajes plantea serias dudas sobre la legitimidad de estos negocios. Reviews en sitios como TrustPilot, con patrones de comportamiento sospechosos, refuerzan la hipótesis de que al menos parte de las opiniones positivas son falsas o generadas automáticamente.
Un reto creciente en la lucha contra el spam automatizado
AkiraBot representa un claro ejemplo del nuevo tipo de amenazas emergentes que combinan inteligencia artificial y automatización para evadir los sistemas tradicionales de seguridad web. La dificultad para detectar patrones comunes en los mensajes y la capacidad del bot para adaptarse rápidamente a nuevas tecnologías de protección hacen que su mitigación sea especialmente compleja.
Desde OpenAI, responsables del modelo de lenguaje utilizado, se confirmó que la clave API fue revocada tras conocerse el abuso. “Nos tomamos muy en serio el uso indebido de nuestros servicios y estamos mejorando continuamente nuestras herramientas para detectar estos casos”, indicaron en su comunicado.
AkiraBot no es solo un bot de spam, es un reflejo de cómo las tecnologías de IA pueden ser aprovechadas por actores maliciosos para operar a escala, con una efectividad y personalización sin precedentes. Ante este nuevo paradigma, plataformas, desarrolladores y responsables de seguridad web deberán adoptar enfoques más dinámicos y preventivos para frenar este tipo de amenazas.
Fuente: Noticias de seguridad
