Identifican campaña de suplantación de DeepSeek IA dirigida a profesionales tecnológicos
Los ciberdelincuentes buscaban atraer a usuarios avanzados interesados en ejecutar sistemas de IA de forma completamente autónoma en su propio hardware.
Lo que parece una intrusión individual puede escalar rápidamente a un incidente cibernético organizacional. Foto: Cortesía
Una operación de malware dirigida que aprovecha el auge de las herramientas de inteligencia artificial, utilizando sitios falsos del popular chatbot DeepSeek, ha sido identificada.
Esta sofisticada campaña de malware está diseñada específicamente para atacar a profesionales del sector tecnológico —como administradores de sistemas, desarrolladores e investigadores técnicos— a través de sitios fraudulentos que simulan ofrecer DeepSeek AI.
Los atacantes crearon interfaces pulidas y creíbles, en idioma local, promoviendo el supuesto despliegue local de DeepSeek, con el objetivo de atraer a usuarios avanzados interesados en ejecutar sistemas de IA de forma completamente autónoma en su propio hardware.
El archivo malicioso se hace pasar por Ollama, un marco de código abierto muy popular para ejecutar modelos de IA generativa de forma local. Dado que Ollama permite a los usuarios técnicos desplegar servicios de IA en su propia infraestructura, los atacantes aprovecharon este atractivo para infiltrarse deliberadamente en sistemas de individuos con altos privilegios.
María Isabel Manjarrez, investigadora de seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky, advierte que el atractivo de ejecutar herramientas de IA generativa de forma local —mayor control, menor dependencia de servicios en la nube y mejor privacidad— es comprensible entre los profesionales de TI.
“Al dirigirse explícitamente a estos usuarios técnicamente capacitados, los atacantes logran una vía para pasar de dispositivos personales comprometidos a entornos corporativos con altos privilegios. Lo que parece una intrusión individual puede escalar rápidamente a un incidente cibernético organizacional de gran magnitud", explicó.
Los investigadores de Kaspersky identificaron los dominios engañosos app.delpaseek[.]com, app.deapseek[.]com y dpsk.dghjwd[.]cn como distribuidores de este malware especializado. Si los usuarios instalan lo que creen que es una herramienta legítima de despliegue local de IA, el malware establece túneles de comunicación encubiertos mediante el protocolo KCP, lo que podría permitir acceso remoto persistente al sistema comprometido.
En una campaña paralela, se descubrieron dominios como deep-seek[.]bar y deep-seek[.]rest que distribuyen malware con técnicas avanzadas de evasión, incluyendo esteganografía (ocultar código malicioso dentro de archivos aparentemente inofensivos) e inyección de procesos, lo que permite al malware operar dentro de procesos legítimos del sistema y dificulta significativamente su detección.
Para protegerse de estos ataques, los expertos de Kaspersky recomiendan, implementar controles de aplicaciones, realizar capacitaciones específicas en ciberseguridad y desplegar soluciones de seguridad empresarial.