Profesionales tecnológicos en riesgo: campaña de suplantación de DeepSeek IA apunta a ellos

Los ciberdelincuentes tienen a todos en la mira, incluso a aquellos que parecen tener más conocimientos de las nuevas tecnologías: administradores de sistemas, desarrolladores e investigadores técnicos, etc.

Kaspersky informó que sus equipos de Investigación de Amenazas y de Tecnología de IA identificaron una sofisticada campaña de malware diseñada específicamente para atacar a profesionales del sector tecnológico.

MIRA: La Fosa de las Marianas: un saco de microplásticos a 6.800 metros de profundidad

Esto se realiza a través de sitios fraudulentos que simulan ofrecer DeepSeek AI. Los atacantes crearon interfaces pulidas y creíbles, en idioma local, promoviendo el supuesto despliegue local de DeepSeek, con el objetivo de atraer a usuarios avanzados interesados en ejecutar sistemas de IA de forma completamente autónoma en su propio hardware.

Según el análisis de Kaspersky, el malware oculto en estas campañas representa un riesgo especialmente alto para personas con conocimientos técnicos que manejan sistemas de TI sensibles.

El archivo malicioso se hace pasar por Ollama, un marco de código abierto muy popular para ejecutar modelos de IA generativa de forma local. Dado que Ollama permite a los usuarios técnicos desplegar servicios de IA en su propia infraestructura, los atacantes aprovecharon este atractivo para infiltrarse deliberadamente en sistemas de individuos con altos privilegios.

Así actúa el malware

Los investigadores de Kaspersky identificaron los dominios engañosos app.delpaseek[.]com, app.deapseek[.]com y dpsk.dghjwd[.]cn como distribuidores de este malware especializado. Si los usuarios instalan lo que creen que es una herramienta legítima de despliegue local de IA, el malware establece túneles de comunicación encubiertos mediante el protocolo KCP, lo que podría permitir acceso remoto persistente al sistema comprometido.

Este acceso encubierto permite a los atacantes extraer información sensible, capturar credenciales, monitorear la actividad del sistema y moverse lateralmente dentro de las redes corporativas en las que trabajan los profesionales afectados. La Red de Seguridad de Kaspersky detecta estas amenazas como Backdoor.Win32.Xkcp.a.

MIRA: Un cambio de ‘dieta’ logra rejuvenecer y generar células madre mejoradas en ratones

En una campaña paralela, se descubrieron dominios como deep-seek[.]bar y deep-seek[.]rest que distribuyen malware con técnicas avanzadas de evasión, incluyendo esteganografía (ocultar código malicioso dentro de archivos aparentemente inofensivos) e inyección de procesos, lo que permite al malware operar dentro de procesos legítimos del sistema y dificulta significativamente su detección. Kaspersky identifica esta amenaza como Trojan.Win32.Agent.xbwfho.

¿Cómo protegerse?

Primero, se puede implementar controles de aplicaciones, como usar soluciones con capacidades estrictas de control de aplicaciones para impedir la instalación de herramientas no autorizadas, incluso si parecen legítimas.

Por otro lado, también se puede realizar capacitaciones específicas en ciberseguridad: educar a los especialistas técnicos sobre tácticas de ingeniería social centradas en la IA, destacando cómo su interés en ejecutar modelos de forma local los convierte en objetivos atractivos.

La empresa en ciberseguridasd también recomienda desplegar soluciones de seguridad empresarial.