DDoS por encargo y la evolución del uso de la IA. El mercado clandestino de herramientas de IA maliciosas ha evolucionado más allá de los simples jailbreaks de modelos comerciales como ChatGPT. Los actores maliciosos ahora tienen acceso a plataformas diseñadas específicamente para operaciones cibernéticas ofensivas, entre cuyas capacidades anunciadas se encuentra el desarrollo de herramientas DDoS. Las implicaciones para las operaciones de denegación de servicio distribuido (DDoS) son claras: el tiempo que transcurre entre la «idea» y el «script convertido en arma» sigue reduciéndose.
La integración de la IA en el ecosistema de booter/stresse se ha acelerado significativamente. Lo que era una tendencia emergente hoy incide en múltiples etapas del ciclo de vida de los ataques.
GhostGPT: diseñado específicamente para la velocidad
En enero de 2025, Abnormal Security documentó GhostGPT, un chatbot malicioso distribuido por Telegram y comercializado para el desarrollo rápido de exploits. Con un precio de solo 50 dólares a la semana, GhostGPT anuncia específicamente la creación de malware y la generación de código de explotación sin restricciones éticas. A diferencia de la compleja arquitectura modular de Xanthorox, GhostGPT da prioridad a la accesibilidad y la velocidad, y los usuarios informan de scripts de ataque funcionales a los pocos minutos de las primeras indicaciones.
WormGPT resurge con nuevas variantes
A pesar del anuncio del desarrollador original de WormGPT de que cerraría sus operaciones en 2023, la herramienta ha demostrado ser resistente. Los investigadores de Unit 42 documentaron anuncios de WormGPT 4 que aparecieron en canales de Telegram a finales de septiembre de 2025, con un número de suscriptores superior a 500 usuarios. CATO Networks identificó por separado nuevas variantes de WormGPT basadas en fundamentos de código abierto, incluidos los modelos Mixtral y Grok de xAI.
El análisis de Moxso confirma que WormGPT conserva capacidades directamente relevantes para las operaciones DDoS, incluida la capacidad de generar «código malicioso diseñado para derribar sitios web e infraestructura sobrecargándolos con tráfico». El modelo de precios sigue siendo accesible: 50 dólares al mes, 175 dólares al año o 220 dólares de por vida, lo que pone la generación de scripts sofisticados al alcance de prácticamente cualquier actor malicioso.
Xanthorox AI: una plataforma ofensiva modular
La novedad más significativa de 2025 es Xanthorox AI, que apareció por primera vez en Telegram en octubre de 2024 y luego en foros de la darknet a finales del primer trimestre de 2025.
Xanthorox funciona como una plataforma modular con cinco modelos de IA especializados que abarcan la generación de código, el análisis de imágenes, el contenido de ingeniería social, la interacción por voz y el reconocimiento en tiempo real a través de más de 50 motores de búsqueda.
Según se informa, el modelo de suscripción cuesta 300 dólares al mes o 2500 dólares al año en los canales de la dark web, lo que posiciona a Xanthorox como una plataforma de IA ofensiva «de nivel empresarial».
Advertencia importante: la revisión técnica de Trend Micro sobre Xanthorox identificó
limitaciones significativas, entre ellas la dependencia de la infraestructura de Google y la ausencia de algunas de las funciones anunciadas. Al igual que ocurre con muchas herramientas clandestinas, las afirmaciones de marketing pueden exceder las capacidades reales. Sin embargo, incluso las herramientas de IA ofensivas que solo funcionan parcialmente reducen significativamente las barreras.
KawaiiGPT: gratuito y accesible
En el otro extremo del espectro, Picus Security y Unit 42 de Palo Alto documentaron KawaiiGPT, un LLM malicioso con temática anime que «democratiza la ciberdelincuencia al permitir que cualquier aficionado genere ataques de nivel profesional de forma gratuita». La versión 2.5 de julio de 2025 está disponible en GitHub y su configuración lleva menos de cinco minutos.
Escáneres de vulnerabilidades optimizados con IA para el reclutamiento de botnets
Quizás el avance más relevante para la infraestructura DDoS sea la aparición de herramientas asistidas por IA diseñadas explícitamente para acelerar el crecimiento de las botnets. Sin embargo, es importante señalar que el escaneo de vulnerabilidades mejorado por IA no es exclusivo de los actores maliciosos; los profesionales de la seguridad ofensiva (offsec) y los evaluadores de penetración también utilizan herramientas similares con fines legítimos, como identificar dispositivos vulnerables antes de que los atacantes puedan explotarlos y ayudar a las organizaciones a corregir las debilidades de su infraestructura.
El escáner KuroCracks
La inteligencia sobre amenazas de S2W TALON documentó una publicación de enero de 2025 en el foro Cracked Forum realizada por un actor malicioso que utilizaba el nombre de usuario “KuroCracks”. La publicación anunciaba un escáner de código abierto para CVE-2024-10914 (una vulnerabilidad de ejecución remota de código) con el título explícito:
“ESCÁNER CVE-2024-10914 – EJECUCIÓN REMOTA DE CÓDIGO – IDEAL PARA BOTNETS – CÓDIGO ABIERTO”.
El escáner combinaba la automatización de Masscan con la entrega de exploits, pero lo que lo hace significativo es que KuroCracks declaró explícitamente que la herramienta se había optimizado utilizando ChatGPT. El actor malicioso compartió técnicas de ingeniería de prompts utilizadas para obtener código de explotación a partir de modelos de IA, proporcionando una plantilla para que otros la siguieran.
Esto representa un ejemplo concreto de cómo la IA acelera el proceso de conversión de vulnerabilidades en botnets. En lugar de desarrollar manualmente herramientas de explotación, los actores maliciosos ahora pueden iterar rápidamente utilizando LLM comerciales, incluso cuando esos modelos cuentan con medidas de seguridad.
Por otra parte, S2W TALON documentó que los actores maliciosos tenían como objetivo la propia infraestructura LLM, y un usuario de BreachForums ofrecía exploits para la API de Google Gemini, lo que indica que las comunidades criminales consideran las plataformas de IA como objetivos de gran valor.
Netscout examina la evolución hasta el cuarto trimestre de 2025, centrándose en tres áreas clave: la proliferación de modelos de lenguaje grandes (LLM) maliciosos diseñados específicamente para operaciones ofensivas, las herramientas generadas por IA diseñadas explícitamente para el reclutamiento de botnets y el impacto medible en el volumen y la sofisticación de los ataques. Estos avances representan un cambio fundamental en el funcionamiento de los servicios de DDoS por encargo y en quién puede acceder a ellos.
Conclusiones principales
- Los LLM maliciosos ahora ofrecen acceso por niveles: desde herramientas gratuitas
(KawaiiGPT) hasta plataformas premium (Xanthorox), el desarrollo de ataques asistidos
por IA está disponible en todos los rangos de precios.
- La IA está acelerando el reclutamiento de botnets: el escáner KuroCracks demuestra el
uso explícito de ChatGPT para optimizar las herramientas de explotación para el
crecimiento de las botnets.
- La adopción clandestina de la IA es cuantificable: aumento del 219 % en las menciones
de herramientas de IA maliciosas, aumento del 52 % en las discusiones sobre
jailbreaking.
- Las métricas de los ataques reflejan el aumento de la población de actores maliciosos:
aceleración constante del volumen y la sofisticación de los ataques en los informes de
los proveedores.
- La evasión está evolucionando: la imitación del tráfico impulsada por la IA y los
patrones de ataque adaptativos desafían la detección basada en firmas.
- Las fuerzas del orden se enfrentan a un problema de resiliencia: la IA permite la rápida
reconstitución de la infraestructura incautada.
