En un reciente informe, SentinelOne ha puesto al descubierto una herramienta altamente sofisticada que redefine la forma en que se realiza el envío masivo de spam en la web. Bautizada como AkiraBot, este framework malicioso, desarrollado en Python, ha estado operando desde septiembre de 2024, logrando impactar a una vasta cantidad de sitios web.
AkiraBot se distingue por su integración con la API de OpenAI, lo que le permite generar mensajes personalizados y únicos para cada uno de los más de 400,000 dominios que ha atacado hasta la fecha. Aprovechando técnicas de scraping, el bot analiza el contenido de las páginas y adapta los mensajes promocionales de manera que aparenten ser genuinos. Este contenido se utiliza para promocionar servicios de SEO en sitios bajo los dominios useakira[.]com y servicewrap[.]com.
La verdadera innovación de AkiraBot radica en su uso de modelos de lenguaje de gran tamaño (LLM), facilitando la creación de textos convincentes y variados. Esta capacidad le otorga una formidable habilidad para evadir filtros antispam que habitualmente detectan y bloquean mensajes repetitivos o predecibles. Mediante el uso de prompts, cada mensaje es ajustado para adecuarse al contexto de su objetivo.
El diseño del bot no se detiene en la generación de contenido. AkiraBot está equipado para superar numerosas barreras técnicas, utilizando navegadores headless y manipulando fingerprints del navegador para evitar su detección. Además, recurre a proxies rotatorios y servicios externos de resolución de CAPTCHAs como FastCaptcha y NextCaptcha. Su sofisticación llega al punto de modificar el DOM de los sitios en tiempo real, simulando el comportamiento de un usuario humano.
La operación de AkiraBot se lleva a cabo desde sistemas Windows, donde se ejecutan diversos scripts y versiones del framework. Curiosamente, incluye funciones que permiten a sus operadores gestionar métricas y resultados mediante Telegram. Este nivel de control remoto sugiere la existencia de un robusto sistema detrás de su ejecución.
SentinelOne ha identificado que los scripts analizados comparten credenciales de proxy y claves API, lo que apunta a un único actor o grupo detrás del proyecto. La relación con dominios vinculados a campañas de malvertising y otros esquemas fraudulentos siembra dudas sobre la autenticidad de los negocios que AkiraBot promociona.
Mientras que el contenido de los mensajes de spam sugiere servicios SEO legítimos, la manera en que estos se distribuyen plantea interrogantes sobre su legitimidad. Comentarios en plataformas como TrustPilot reflejan comportamientos sospechosos, sugiriendo que al menos algunas de las reseñas podrían ser generadas automáticamente para simular popularidad.
El caso de AkiraBot subraya el creciente desafío del spam automatizado potenciado por inteligencia artificial. Su habilidad para evitar la detección y adaptarse rápidamente hace que su mitigación sea un reto para las plataformas de seguridad web. En respuesta a estos abusos, OpenAI ha confirmado la revocación de la clave API utilizada, destacando su compromiso en mejorar las herramientas de detección de uso indebido.
AkiraBot no es simplemente un spam bot, sino un indicador de cómo las tecnologías de inteligencia artificial pueden ser explotadas por entidades maliciosas para alcanzar niveles de efectividad y personalización sin precedentes. Este escenario exige que desarrolladores y profesionales de seguridad web adopten enfoques más proactivos y adaptables para enfrentar las amenazas emergentes.
