Marc Sureda
Los equipos de Análisis de Amenazas e Investigación de Tecnología de IA de Kaspersky han identificado una campaña de malware que se hace pasar por una aplicación de DeepSeek AI, el popular chatbot de inteligencia artificial generativa. Los responsables de este engaño emplearon geofencing, cuentas comprometidas y redes de bots para dirigir a las víctimas hacia páginas web fraudulentas, en un ataque que alcanzó más de 1,2 millones de impresiones en la plataforma X.
Según la investigación, los atacantes montaron réplicas de la web oficial de DeepSeek y utilizaron dominios aparentemente creíbles, como “deepseek-pc-ai[.]com” o “deepseek-ai-soft[.]com”. Estos sitios maliciosos analizan la dirección IP de cada visitante para adaptar el contenido según la ubicación geográfica, reduciendo así la detección por parte de los sistemas de seguridad. Bajo esta apariencia legítima, invitaban a descargar un software falso que resultaba ser un instalador infectado.
Una campaña amplificada mediante cuentas comprometidas
El canal de distribución principal del malware fue la plataforma X, donde los ciberdelincuentes accedieron a una cuenta comercial de una empresa australiana y publicaron enlaces que redirigían a las webs engañosas. Para incrementar la notoriedad, recurrieron a un gran número de perfiles falsos con características de bots, amplificando el alcance del contenido. De esta forma, llegaron a un público amplio y generaron repeticiones del mensaje de forma coordinada.
Quienes descargaban el supuesto DeepSeek quedaban expuestos a instaladores maliciosos basados en Inno Setup, que conectaban con servidores de control y mando. Seguidamente, se ejecutaban scripts PowerShell con el fin de reconfigurar el servicio SSH integrado en Windows e introducir claves controladas por el atacante, permitiendo el acceso remoto no autorizado.
Cómo protegerse frente a esta amenaza
Los expertos de Kaspersky han destacado que sus soluciones de seguridad identifican y bloquean de forma proactiva estas variantes, catalogadas como Trojan-Downloader.Win32.TookPS.*.
Así mismo, también recomiendan verificar cuidadosamente las URLs, ya que pequeños cambios ortográficos o guiones adicionales suelen revelar sitios falsos, emplear soluciones de protección de seguridad completas que puedan detectar malware y webs maliciosas en tiempo real, y mantener el software actualizado, especialmente los sistemas operativos y las aplicaciones de seguridad, para corregir vulnerabilidades.
