Incidentes Asociados
Se ha observado que actores de amenazas utilizan herramientas falsas basadas en inteligencia artificial (IA) como señuelo para incitar a los usuarios a descargar un malware ladrón de información denominado Noodlophile.
"En lugar de recurrir al phishing tradicional o a sitios web de software pirateado, crean plataformas convincentes con temática de IA, a menudo anunciadas a través de grupos de Facebook de apariencia legítima y campañas virales en redes sociales", afirmó el investigador de Morphisec, Shmuel Uzan, en un informe publicado la semana pasada (https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/).
Se ha descubierto que las publicaciones compartidas en estas páginas atraen más de 62 000 visitas por publicación, lo que indica que los usuarios que buscan herramientas de IA para la edición de vídeo e imágenes son el objetivo de esta campaña. Algunas de las páginas falsas en redes sociales identificadas incluyen Luma Dreammachine AI, Luma Dreammachine y gratistuslibros.
A los usuarios que acceden a las publicaciones en redes sociales se les insta a hacer clic en enlaces que anuncian servicios de creación de contenido con IA, incluyendo vídeos, logotipos, imágenes e incluso sitios web. Uno de los sitios web falsos se hace pasar por CapCut AI y ofrece a los usuarios un "editor de vídeo todo en uno con nuevas funciones de IA".
Una vez que los usuarios desprevenidos suben sus imágenes o vídeos a estos sitios, se les pide que descarguen el supuesto contenido generado por IA, momento en el que se descarga un archivo ZIP malicioso ("VideoDreamAI.zip").
El archivo contiene un archivo engañoso llamado "Video Dream MachineAI.mp4.exe" que inicia la cadena de infección al ejecutar un binario legítimo asociado con el editor de vídeo de ByteDance ("CapCut.exe"). Este ejecutable basado en C++ se utiliza para ejecutar un cargador basado en .NET llamado CapCutLoader que, a su vez, carga una carga útil de Python ("srchost.exe") desde un servidor remoto.
El binario de Python allana el camino para la implementación de Noodlophile Stealer, que permite recopilar credenciales de navegador, información de monederos de criptomonedas y otros datos confidenciales. Algunas instancias también han incluido el ladrón con un troyano de acceso remoto como XWorm para acceder a los hosts infectados.
Se considera que el desarrollador de Noodlophile es de origen vietnamita y, en su perfil de GitHub, afirma ser un "desarrollador de malware apasionado de Vietnam". La cuenta se creó el 16 de marzo de 2025. Cabe destacar que este país del sudeste asiático alberga un próspero ecosistema de ciberdelincuencia (https://thehackernews.com/2024/04/vietnam-based-hackers-steal-financial.html) con un historial de distribución de diversas familias de malware ladrón dirigido a Facebook.
Que actores maliciosos aprovechen el interés público en las tecnologías de IA no es un fenómeno nuevo. En 2023, Meta afirmó haber eliminado más de 1000 URL maliciosas que se compartían entre sus servicios y que, según se descubrió, utilizaban ChatGPT de OpenAI como señuelo para propagar unas 10 familias de malware desde marzo de 2023.
Esta revelación coincide con la publicación por parte de CYFIRMA de otra nueva familia de malware ladrón basado en .NET, cuyo nombre en código es PupkinStealer, capaz de robar una amplia gama de datos de sistemas Windows comprometidos y exfiltrarlos a un bot de Telegram controlado por el atacante.
"Sin defensas antianálisis específicas ni mecanismos de persistencia, PupkinStealer se basa en una ejecución directa y un comportamiento discreto para evitar ser detectado durante su funcionamiento", declaró la empresa de ciberseguridad (https://www.cyfirma.com/research/pupkinstealer-a-net-based-info-stealer/). "PupkinStealer ejemplifica una forma simple pero eficaz de malware de robo de datos que aprovecha comportamientos comunes del sistema y plataformas ampliamente utilizadas para exfiltrar información confidencial".