Malware que inyecta la IA del analista, no el sandbox
SentinelOne documentó un implante de macOS que incrusta falsos mensajes de fallo del sistema para hacer que un agente de triaje asistido por LLM dude de su sesión y abandone el análisis.
¿Qué es esto?
El 25 de junio de 2026, el equipo de investigación de SentinelOne documentó una puerta trasera y ladrón de información para macOS, escrito en Rust y hasta ahora desconocido, al que llamaron Gaslight y atribuyen con alta confianza a actores alineados con Corea del Norte. La parte de robo es convencional: mando y control por Telegram, robo del llavero y de los navegadores, un LaunchAgent para la persistencia. Lo que justifica esta entrada es un componente pequeño pero inédito: la muestra transporta una carga de inyección de prompt dirigida no al sandbox ni al entorno de detonación, sino a las herramientas de IA del analista humano.
Como lo expresa SentinelOne, el implante «ataca la percepción del agente, en lugar del sandbox en el que se ejecuta». Es una historia de herramientas defensivas: las mismas cadenas de triaje asistidas por LLM que hoy se instalan en muchos flujos de trabajo de ingeniería inversa y de SOC se han convertido en un objetivo por derecho propio.
Cómo funciona
El artefacto relevante es un bloque Markdown oculto en la muestra que contiene alrededor de tres docenas de falsos mensajes de «sistema». Cuando un analista pega el archivo —o dirige hacia él un agente de triaje asistido por LLM—, el modelo lee ese bloque como si formara parte del andamiaje de su propia sesión, en vez de tratarlo como datos no confiables controlados por el atacante. Los mensajes falsos imitan el tipo de señales de ejecución en las que un agente confía: avisos de expiración de token, terminaciones por falta de memoria, errores de disco lleno y fallos de operación repetidos. El andamiaje también planta advertencias falsas que afirman que el artefacto contiene vulnerabilidades de inyección o que ha activado marcadores de análisis estático.
La intención es hacer que el agente de triaje concluya que su propia sesión está corrupta o que continuar es inseguro, de modo que aborte, trunque o rechace el análisis. Aquí no hay explotación del modelo en el sentido de corrupción de memoria: la técnica es puramente social, un truco de confianza jugado a un sistema incapaz de separar limpiamente «las instrucciones y estados de mi arnés» de «los bytes que se supone que debo analizar». Esa confusión es la causa raíz de la inyección de prompt indirecta en general; Gaslight simplemente la apunta hacia el defensor en lugar de hacia el usuario.
Dos detalles subrayan que se trata de una capacidad emergente y todavía tosca, más que de un procedimiento pulido. La inyección es un añadido desmontable: retírela y el malware funciona igual. Y varias partes de Gaslight —el instalador plagado de emojis, las verbosas cabeceras de comentarios— llevan las huellas de código generado por LLM, lo que sugiere que los operadores usan modelos tanto para construir el malware como para atacar a los modelos empleados para analizarlo.
Por qué importa
Los analistas introducen cada vez más artefactos en bruto, redactados por el atacante, directamente en LLM para resumir comportamientos, decodificar cadenas o redactar detecciones. Cada uno de esos artefactos es una entrada no confiable, y Gaslight demuestra en condiciones reales que los adversarios se han dado cuenta. Un agente de triaje que se rinde, trunca en silencio o «tranquiliza» al analista diciendo que un archivo es benigno constituye una brecha de detección: sin caída ni error visible, solo un análisis que se detiene discretamente. Si un flujo de trabajo permite que el agente de análisis actúe (cerrar un ticket, marcar una muestra como limpia, mover un archivo), el mismo texto podría empujarlo hacia una decisión dañina, no solo hacia un abandono.
La lección más amplia es que añadir IA al bucle defensivo amplía la superficie de ataque tanto como el rendimiento. El contenido extraído de una muestra maliciosa merece exactamente la misma desconfianza, lo lea un humano o un modelo.
Defensas
Trate todo material extraído de una muestra como dato no confiable, nunca como instrucción. La mitigación duradera es el mismo patrón de diseño que endurece a los agentes contra la inyección indirecta en todas partes: mantenga una frontera estricta entre los mensajes de sistema y estado propios del modelo y los bytes bajo análisis, y haga estructuralmente imposible que el contenido analizado se haga pasar por salida del arnés. Envuelva los artefactos enviados en contenedores «datos no confiables» claramente delimitados y etiquetados, y neutralice o elimine cualquier texto con apariencia de control (bloques «sistema» entre delimitadores, falsas líneas de estado) antes de que llegue al modelo.
No permita que las propias afirmaciones de un agente de triaje sobre el estado de su sesión —«token expirado», «memoria insuficiente», «análisis inseguro, abortando»— pongan fin en silencio a una investigación; muéstrelas como hallazgos sospechosos para que un humano los verifique, porque un fallo real y uno inyectado son indistinguibles para el modelo. Mantenga los agentes de análisis en solo lectura o estrechamente aislados, para que un modelo manipulado no pueda tomar acciones de consecuencia sobre una muestra o un ticket. Y recuerde el caso base: ninguna de las capacidades reales del ladrón cambió por la inyección, así que los controles clásicos —listas de permitidos de aplicaciones, protección de credenciales del llavero y de navegadores, vigilancia de LaunchAgents anómalos y del C2 saliente por Telegram— siguen detectando y conteniendo a Gaslight, diga lo que diga su texto a su IA.
Estado
Se trata de una familia de malware documentada en condiciones reales por un proveedor de seguridad, no de una vulnerabilidad de producto con un identificador asignado.
| Elemento | Detalle |
|---|---|
| Fuente principal | SentinelOne Labs, «macOS Gaslight: Rust backdoor turns prompt injection on the analyst, not the sandbox» |
| Publicación | 25 de junio de 2026 |
| Familia | Gaslight — puerta trasera / ladrón para macOS en Rust |
| Atribución | Actores alineados con Corea del Norte (alta confianza, según SentinelOne) |
| Elemento inédito | ~38 falsos mensajes de «sistema» incrustados para hacer que los agentes de triaje asistidos por LLM aborten o rechacen el análisis |
| Rasgos clásicos | C2 por bot de Telegram, robo de llavero/navegadores, persistencia por LaunchAgent, instalador con código generado por LLM |
Ambas fuentes tienen menos de 90 días. La conclusión es acotada pero importante: en cuanto un LLM se une a su cadena de ingeniería inversa o de SOC, los artefactos que lee pueden responderle —por lo que el contenido de una muestra maliciosa debe tratarse como dato hostil, sin importar quién, o qué, lo esté leyendo.