Investigadores de Kaspersky han descubierto una campaña de malware selectiva que utiliza sitios web falsificados del chatbot DeepSeek AI para atacar a profesionales del sector tecnológico, incluyendo administradores de sistemas, desarrolladores e investigadores técnicos.
La campaña emplea sitios web fraudulentos que simulan ofrecer la implementación local de DeepSeek AI, atrayendo a usuarios avanzados interesados en ejecutar sistemas de IA de forma autónoma en su propio hardware. El análisis de Kaspersky revela que el malware distribuido se disfraza de Ollama, un popular marco de código abierto para ejecutar modelos de IA generativa localmente.
Según Kaspersky, el malware establece túneles de comunicación encubiertos mediante el protocolo KCP, lo que podría permitir el acceso remoto persistente a los sistemas comprometidos. Este acceso no autorizado facilita la extracción de información sensible, la captura de credenciales, el monitoreo de la actividad del sistema y el movimiento lateral dentro de redes corporativas. Kaspersky detecta esta amenaza como Backdoor.Win32.Xkcp.a. Los dominios identificados como distribuidores de este malware incluyen app.delpaseek[.]com, app.deapseek[.]com y dpsk.dghjwd[.]cn.
En una campaña relacionada, se identificaron los dominios deep-seek[.]bar y deep-seek[.]rest, los cuales distribuyen malware con técnicas de evasión avanzadas, como esteganografía e inyección de procesos. Este malware opera dentro de procesos legítimos del sistema, lo que dificulta su detección. Kaspersky identifica esta amenaza como Trojan.Win32.Agent.xbwfho.
Para mitigar el riesgo de estos ataques, Kaspersky recomienda las siguientes medidas:
-Implementar controles de aplicaciones para restringir la instalación de software no autorizado.
-Realizar capacitaciones en ciberseguridad dirigidas a profesionales técnicos sobre tácticas de ingeniería social relacionadas con la IA.
-Desplegar soluciones de seguridad empresarial, como la línea Kaspersky Next, para una protección en tiempo real.
Fuente: Kaspersky
