La sofisticada campaña de malware disfrazado de DeepSeek

La última campaña descubierta por Kaspersky Threat Research es un perfecto ejemplo del nivel de complejidad que pueden alcanzar estas ciberamenazas. El primer punto es el cebo, el software de IA DeepSeek, que tuvo un éxito fulminante con millones de descargas. Los atacantes usaron réplicas de la web oficial de DeepSeek, con nombre de dominio ligeramente modificados.

Además, personalizaban su propuesta con tecnología geofencing, que establece un perímetro virtual en base a la geolocalización: según la IP de la víctima, cambiaban dinámicamente el contenido. La aplicación falsa de DeepSeek contenía instaladores maliciosos basados en la plataforma Inno Setup; al ejecutarlos, se ponían en contacto con servidores de comando y control para recuperar scripts PowerShell codificados en Base64, que activaban el servicio SSH de Windows, lo reconfiguraban y lograban el acceso remoto no autorizado a los sistemas comprometidos.

Kaspersky explica que el principal canal de distribución fue la red social X. En ella, los ciberdelincuentes comprometieron la cuenta de una empresa australiana, desde la que difundieron los enlaces fraudulentos. Solo con esa publicación lograron cerca de 1,2 millones de impresiones y cientos de repost, la mayor parte de los cuales provenían de cuentas de bots.

Vasily Kolesnikov, analista senior de malware de Kaspersky Threat Research, considera que “esta campaña demuestra una notable sofisticación más allá de los típicos ataques de ingeniería social. Los atacantes explotaron el auge de la tecnología de IA generativa, combinando hábilmente geofencing dirigido, cuentas comerciales comprometidas y amplificación de bots orquestada para llegar a una audiencia sustancial mientras evadían cuidadosamente las defensas de ciberseguridad”.