Ciberdelincuentes usan X para distribuir malware disfrazado de DeepSeek AI

Analistas de seguridad han revelado cómo los ciberdelincuentes utilizaron geofencing, cuentas comerciales comprometidas y redes de bots coordinadas para distribuir malware disfrazado de software DeepSeek AI, generando más de 1,2 millones de visitas en X.
Los equipos de Análisis de Amenazas e Investigación de Tecnología de IA de Kaspersky han identificado una sofisticada campaña de engaño que se aprovecha del rápido crecimiento e interés público en torno a DeepSeek AI, un popular chatbot de IA generativa, para distribuir malware a través de páginas web fraudulentas.

En su investigación, los analistas de Kaspersky revelaron que los ciberdelincuentes establecieron réplicas engañosas de la web oficial de DeepSeek, utilizando nombres de dominio como “deepseek-pc-ai[.]com» y «deepseek-ai-soft[.]com”. Una característica distintiva de esta campaña fue su uso de la tecnología geofencing, en la que los sitios web maliciosos examinan la dirección IP de cada visitante y alteran dinámicamente la presentación del contenido en función de la ubicación geográfica, lo que permite a los atacantes afinar su enfoque y reducir los riesgos de detección.

“Esta campaña demuestra una notable sofisticación más allá de los típicos ataques de ingeniería social. Los atacantes explotaron el auge de la tecnología de IA generativa, combinando hábilmente geofencing dirigido, cuentas comerciales comprometidas y amplificación de bots orquestada para llegar a una audiencia sustancial mientras evadían cuidadosamente las defensas de ciberseguridad”, explica Vasily Kolesnikov, analista senior de malware de Kaspersky Threat Research.

Según el análisis de Kaspersky, el principal canal de distribución de la campaña fue la plataforma de redes sociales X. Los atacantes comprometieron estratégicamente la cuenta de redes sociales de una empresa australiana para difundir enlaces fraudulentos. Esta única publicación maliciosa atrajo una atención significativa, alcanzando aproximadamente 1,2 millones de impresiones y generando cientos de reposts. Los analistas determinaron que estas reposiciones procedían en gran medida de cuentas de bots coordinados -evidente debido a sus convenciones de nomenclatura y características de perfil similares-, lo que indica una amplificación deliberada del contenido malicioso.

Los usuarios que accedían a estas webs eran dirigidos a descargar una aplicación falsa de DeepSeek. En lugar del software auténtico, entregaban instaladores maliciosos que utilizaban la plataforma de instalación Inno Setup. Una vez ejecutados, estos instaladores comprometidos intentaban ponerse en contacto con servidores remotos de comando y control para recuperar scripts PowerShell codificados en Base64. A posteriori, estos scripts activaban el servicio SSH integrado de Windows, lo reconfiguraban con claves controladas por el atacante y permitían el acceso remoto no autorizado a los sistemas comprometidos.

Todas las cargas útiles de malware relacionadas con esta campaña son identificadas y bloqueadas proactivamente por los productos de seguridad de Kaspersky, como las variantes de Trojan-Downloader.Win32.TookPS.*.
Para mantenerse seguro, los expertos de Kaspersky recomiendan:

•    Comprueba meticulosamente las URL. Las páginas web fraudulentas de IA suelen utilizar nombres de dominio muy parecidos a los de servicios legítimos, pero que contienen sutiles diferencias. Antes de descargar cualquier software de IA, comprueba que la URL de la web coincide exactamente con el dominio oficial, sin palabras adicionales, guiones ni variaciones ortográficas.
•    Utiliza una protección de seguridad completa. Implementa una solución de seguridad sólida como Kaspersky Premium en todos los dispositivos para detectar y bloquear instaladores y webs maliciosas antes de que puedan poner en peligro tu sistema.
•    Mantén actualizado todo el software. Muchas de las vulnerabilidades de seguridad que aprovechan los programas maliciosos pueden solucionarse instalando las últimas versiones del sistema operativo y de las aplicaciones, sobre todo del software de seguridad.