Los equipos de Análisis de Amenazas e Investigación de Tecnología de IA de la compañía de ciberseguridad Kaspersky han logrado identificar una sofisticada campaña de engaño que se aprovecha del rápido crecimiento e interés público que se ha creado en torno a DeepSeek AI, un popular chatbot de inteligencia artificial generativa, para distribuir malware a través de páginas web fraudulentas.
En su investigación, los analistas de Kaspersky detectaron que los ciberdelincuentes establecieron réplicas engañosas de la web oficial de DeepSeek, usando nombres de dominio como “deepseek-pc-ai[.]com” y “deepseek-ai-soft[.]com”. Una característica de esta campaña fue la utilización de la tecnología geofencing, en la que los sitios web maliciosos examinan la dirección IP de cada visitante y alteran dinámicamente la presentación del contenido en función de la ubicación geográfica, lo que permite a los atacantes afinar su enfoque y reducir los riesgos de detección.
Sofisticación de los ataques
“Esta campaña demuestra una notable sofisticación más allá de los típicos ataques de ingeniería social. Los atacantes explotaron el auge de la tecnología de IA generativa, combinando hábilmente geofencing dirigido, cuentas comerciales comprometidas y amplificación de bots orquestada para llegar a una audiencia sustancial mientras evadían cuidadosamente las defensas de ciberseguridad”, explica Vasily Kolesnikov, analista sénior de malware de Kaspersky Threat Research.
El análisis de Kaspersky muestra que el principal canal de distribución de la campaña fue la plataforma de redes sociales X. Los atacantes comprometieron estratégicamente la cuenta de RR.SS. de una empresa australiana para difundir enlaces fraudulentos. Una única publicación maliciosa concentró gran atención: 1,2 millones de impresiones y cientos de reposts. Los investigadores concluyeron determinaron que estas reposiciones procedían en gran medida de cuentas de bots coordinados (debido a sus convenciones de nomenclatura y características de perfil similares), lo que demuestra una amplificación deliberada del contenido malicioso.
Aplicación falsa de DeepSeek
Los usuarios que accedían a estas webs eran dirigidos a descargar una aplicación falsa de DeepSeek. En vez del software auténtico, entregaban instaladores maliciosos que utilizaban la plataforma de instalación Inno Setup. Una vez ejecutados, estos instaladores comprometidos intentaban ponerse en contacto con servidores remotos de comando y control para recuperar scripts PowerShell codificados en Base64.
A posteriori, estos scripts activaban el servicio SSH integrado de Windows, lo reconfiguraban con claves controladas por el atacante y permitían el acceso remoto no autorizado a los sistemas comprometidos.
Recomendaciones
Para mantenerse seguro, los expertos de Kaspersky recomiendan:
- Comprueba meticulosamente las URL. Las páginas web fraudulentas de IA suelen utilizar nombres de dominio muy parecidos a los de servicios legítimos, pero que contienen sutiles diferencias. Antes de descargar cualquier software de IA, comprueba que la URL de la web coincide exactamente con el dominio oficial, sin palabras adicionales, guiones ni variaciones ortográficas.
- Utiliza una protección de seguridad completa. Implementa una solución de seguridad sólida en todos los dispositivos para detectar y bloquear instaladores y webs maliciosas antes de que puedan poner en peligro tu sistema.
- Mantén actualizado todo el software. Muchas de las vulnerabilidades de seguridad que aprovechan los programas maliciosos pueden solucionarse instalando las últimas versiones del sistema operativo y de las aplicaciones, sobre todo del software de seguridad.