Incidentes Asociados
Resumen Ejecutivo
El enmascaramiento —el arte de ocultar la verdadera naturaleza de un sitio web— es un componente crucial de las operaciones ciberdelictivas actuales. Los ciberdelincuentes utilizan el enmascaramiento de dominios, implementado mediante sistemas de distribución de tráfico (TDS) y kits de enmascaramiento, para eludir las restricciones de contenido en la publicidad, para seleccionar con precisión a las víctimas con malware y estafas, y para protegerse entre sí. Algunos desarrollan sus propios TDS o adquieren acceso a operaciones totalmente delictivas como BlackTDS, 404TDS y ParrotTDS. Sin embargo, muchos recurren a software comercial. Al fin y al cabo, el cibercrimen es como cualquier otra economía: ¿para qué desarrollarlo internamente si se pueden usar productos altamente sofisticados desarrollados por otros?
Keitaro Tracker, a veces conocido como Keitaro TDS, es una plataforma de seguimiento del rendimiento publicitario que se ha observado con frecuencia en campañas maliciosas y ha sido utilizada indebidamente por ciberdelincuentes, aunque no es la única herramienta de seguimiento comercial empleada de esta manera. Ha captado la atención de la comunidad de seguridad debido a su adopción por parte de algunos de los delincuentes más notorios durante la última década. En los últimos años, se ha convertido en una característica distintiva de TA2726, que utiliza Keitaro para dirigir tráfico a SocGholish (TA569) y sus campañas de actualizaciones falsas de navegador. Los visitantes del sitio web que no cumplen con los requisitos de segmentación de SocGholish son redirigidos a otras plataformas de publicidad de afiliados o a páginas señuelo. Además de TA2726, Keitaro ha sido mencionado en la literatura sobre seguridad en numerosas ocasiones, la más reciente en campañas de spam que utilizan Jira dirigidas a entidades gubernamentales.
Si bien es bien sabido que Keitaro es utilizado indebidamente por ciberdelincuentes, nunca se había realizado un estudio longitudinal para comprender la naturaleza de este abuso. Infoblox y Confiant colaboraron durante los últimos seis meses para comprender cómo los ciberdelincuentes utilizan el rastreador, basándose en sus perspectivas complementarias del entorno. Confiant puede analizar toda la cadena publicitaria, mientras que Infoblox se centra en cómo aparecen las amenazas en el DNS, utilizando spam y contenido web para comprender el panorama. Descubrimos desde el principio que las instancias de Keitaro observadas en los ataques presentaban poca superposición, lo que hacía que la información combinada no solo fuera más convincente, sino también más extensa.
Analizamos cuatro meses de datos, a partir del 1 de octubre de 2025, para determinar qué porcentaje de ese uso era malicioso. Durante este tiempo, detectamos miles de instancias de contenido malicioso de Keitaro que ocultaban información, desde estafas de inversión hasta robo de información. El tráfico hacia estas instancias provenía de sitios web comprometidos, spam, redes sociales y publicidad. El nivel y la persistencia del abuso son realmente asombrosos. Keitaro es un rastreador autohospedado con numerosas funciones que se puede configurar en pocos minutos en múltiples plataformas de alojamiento, lo que probablemente lo hace atractivo para su uso. Durante este período, encontramos aproximadamente 15.500 dominios utilizados activamente para instancias maliciosas de Keitaro, de los cuales unos 9.000 se registraron antes de su uso. Estos dominios se utilizaron en campañas publicitarias detectadas por Confiant, pero también se incluyeron en correos electrónicos no deseados, se incrustaron en sitios web comprometidos y se vincularon a través de otras fuentes de tráfico.
Las estafas de inversión predominaron entre las amenazas que observamos. Una tendencia reciente en este tipo de estafa es el uso de la IA como gancho de marketing principal: las páginas afirman con frecuencia utilizar "IA avanzada" o "algoritmos basados en IA" que automatizan las operaciones y prometen rendimientos extraordinarios. Varios actores también incorporan imágenes o vídeos deepfake para aumentar la credibilidad percibida. Además, observamos indicadores del uso programático de IA generativa para producir masivamente titulares, textos e imágenes que se utilizan como páginas de señuelo y anuncios.
Además del enmascaramiento de dominio, el enrutamiento condicional de Keitaro, basado en las características del dispositivo, permite a los operadores crear flujos de tráfico complejos. Analizamos miles de casos de ataque para caracterizar los flujos utilizados en este tipo de estafas. La Figura 1 resume los flujos más comunes, desde la geolocalización y los grupos de agentes de usuario hasta los idiomas utilizados en la página de destino. Podemos observar que, en estos ataques, independientemente de la ubicación del visitante y el tipo de dispositivo, el mensaje final se muestra en un número limitado de idiomas, principalmente ruso e inglés. Esto podría indicar que el atacante segmenta el público objetivo o que tiene capacidades limitadas. Si bien muchas de las campañas son globales, existen actores de amenazas importantes, en particular aquellos detectados por Confiant en el ecosistema publicitario, que se dirigen específicamente a Estados Unidos.
Figura 1. Filtros de tráfico de Keitaro para campañas con IA
También nos propusimos determinar la capacidad de respuesta de Apliteni, la empresa que desarrolló y comercializa Keitaro Tracker, ante las denuncias de abuso. Dado que Keitaro ha sido utilizado por ciberdelincuentes durante tanto tiempo, cabía preguntarse si la empresa hacía la vista gorda ante el abuso: ¿era un rastreador infalible? Desde agosto de 2025, hemos denunciado más de cien dominios. La empresa respondió con rapidez y exhaustividad a todas nuestras solicitudes. Como resultado, se cancelaron más de una docena de cuentas de ciberdelincuentes. Los términos de licencia de Keitaro Tracker prohíben, entre otras cosas, el contenido engañoso. Esto permite a la empresa cerrar una instancia que utilice un rastreador con fines de ocultación maliciosa. En muchos casos, los dominios que observamos no tenían licencias válidas. Mediante múltiples intercambios, basados en la actividad que detectamos y la información de clientes que poseía el equipo de Keitaro, verificamos que TA2726 y otros actores de malware estaban utilizando copias ilícitas del rastreador.
Si bien realizamos un análisis exhaustivo de Keitaro Tracker, esta publicación en varias partes tiene como objetivo destacar la magnitud y el alcance de la ocultación en el panorama de amenazas. Otros rastreadores comerciales, como Binom, también son objeto de abusos frecuentes, y esta investigación no pretende implicar a Keitaro más que a estos otros. De hecho, nuestra colaboración con Keitaro condujo a nuevos descubrimientos que no habrían sido posibles de otro modo. Hyrhorii, responsable de Confianza y Seguridad, nos comentó sobre este informe: «En Keitaro, nos dedicamos a mantener un entorno profesional y seguro para el marketing legítimo. Nuestra estrategia se basa en medidas tanto reactivas como proactivas: si bien actuamos con prontitud ante los informes de abuso externos, también invertimos considerablemente en la monitorización interna para identificar y neutralizar patrones maliciosos antes de que puedan afectar al ecosistema. El hecho de que los atacantes no vuelvan a estar activos tras nuestra intervención confirma la eficacia de nuestro enfoque. Valoramos nuestra colaboración con Infoblox, ya que la sinergia proactiva entre proveedores de software y expertos en ciberseguridad es la única forma de proteger eficazmente la reputación del sector y la seguridad de los usuarios».
Este es el primero de tres blogs que comparten los resultados de este estudio. El uso de la IA en actividades ilícitas está en aumento, y las campañas impulsadas por el abuso de Keitaro no son una excepción. En este blog, informaremos sobre el subconjunto de actores maliciosos que han utilizado la IA en sus campañas, la mayoría de las cuales eran estafas de inversión. El próximo blog ofrecerá un análisis de los muchos otros subconjuntos de actores que ambos equipos identificaron. La última entrada del blog analizará cómo los ciberdelincuentes han utilizado las características y funcionalidades del software de Keitaro con fines maliciosos, y abordará nuestra colaboración con el proveedor en materia de abuso.
Si bien utilizamos ejemplos reales para ilustrar este punto, no se trata de un blog más sobre IA o estafas de inversión. La conclusión principal es que los ciberdelincuentes utilizan el enmascaramiento de dominios para distribuir un flujo constante de contenido malicioso a usuarios de todo tipo y en todo el mundo, y que Keitaro es una herramienta que suelen emplear en estas campañas. Aunque Apliteni puede responder, y de hecho lo ha hecho, a los informes de abuso, el enorme volumen y la diversidad de las amenazas, sin mencionar la sofisticación y el robo de licencias, convierten a estas tecnologías en un desafío persistente y poco denunciado para los defensores.
Confiant protege la cadena de suministro de publicidad digital y a muchos de los principales exchanges, plataformas y editores publicitarios. Su visibilidad de casi 90 mil millones de impresiones publicitarias mensuales en sitios web de editores se deriva de miles de integraciones del lado del cliente que bloquean los ataques de publicidad maliciosa. Este conjunto de productos también recopila telemetría sobre la actividad de amenazas detectada en la práctica y complementa la información que Infoblox Threat Intel obtiene mediante análisis de DNS, spam y sitios web.
Estafas de inversión e IA
La principal categoría de amenazas que hemos identificado que abusan de los servicios de Keitaro son las estafas de inversión. Si bien tanto Infoblox como Confiant detectaron que este tipo de fraude predominaba en sus detecciones, los actores de amenazas que observamos son diferentes debido a nuestra visibilidad y enfoque. En una publicación anterior de blog, Infoblox destacó las tácticas, técnicas y procedimientos (TTP) recurrentes que definen estas operaciones, y estos patrones se mantienen constantes:
- Registro algorítmico de un gran número de dominios a lo largo del tiempo, una técnica que denominamos algoritmos de generación de dominios registrados (RDGA).
- Reutilización de formularios web casi idénticos para capturar información de los usuarios.
- Implementación de kits que producen estructuras de sitios web uniformes.
- Uso de noticias o testimonios falsos para aparentar legitimidad.
Comenzaremos compartiendo algunos de los actores no identificados que Infoblox rastrea en este ámbito, muchos de los cuales utilizan las redes sociales, especialmente los anuncios de Facebook, para atraer a las víctimas. Si bien hemos visto el uso de la IA para generar páginas durante años, los estafadores ahora la incorporan como una ventaja en el uso de su plataforma de trading fraudulenta. La figura 2 muestra las diferentes plantillas utilizadas por un actor al que seguimos de cerca y que lleva a cabo este tipo de campañas de estafa de inversión.
Figura 2. Páginas de destino de estafas de inversión que utilizan plataformas de trading con IA, con una estructura similar y un formulario web integrado común para recopilar los datos de las víctimas. Crédito de la imagen: urlscan.io
El segundo atacante también lleva a cabo una estafa de inversión con temática de IA, pero el diseño de su sitio web presenta un estilo más minimalista con fondo blanco (Figura 3). A pesar del cambio de estilo, el patrón subyacente sigue siendo el mismo: promocionar el trading impulsado por IA como señuelo para atraer a las víctimas a una estafa de inversión. Promete rendimientos automatizados de bajo riesgo que superan al mercado y utiliza términos de moda sin sentido, como "blockchain". Un formulario web recopila los datos de contacto de los visitantes. En este tipo de estafas, el atacante suele hacerse pasar por un "gestor de cuentas" y bombardea a las víctimas con llamadas telefónicas para obtener una inversión inicial. Según la distribución lingüística observada, el actor parece dirigirse principalmente a audiencias de habla inglesa y alemana, aunque también intenta llegar a hablantes de japonés, italiano, neerlandés, francés, español y portugués.
Figura 3. Páginas de destino de estafas de inversión vinculadas a un actor de amenazas diferente, que promocionaban plataformas de trading con IA y reseñas cercanas a las cinco estrellas. Crédito de la imagen: urlscan.io
El siguiente actor malicioso parece recurrir a noticias falsas sobre IA para promocionar su esquema de inversión. En lugar de inventar testimonios de famosos, estas páginas presentan a la IA como una autoridad confiable, describiéndola como una tecnología transformadora que permite operar con facilidad y a nivel experto para usuarios comunes. En las distintas versiones del sitio, disponibles en varios idiomas, el contenido combina sistemáticamente imágenes relacionadas con la IA con narrativas que afirman que la IA simplifica las decisiones financieras complejas (Figura 4), lo que demuestra cómo el actor adapta el mismo mensaje principal a diferentes audiencias. El actor también utiliza dominios RDGA, como los que se muestran en la Tabla 1, para sus campañas.
Figura 4a
Figura 4b
Figura 4c
Figura 4d
Figura 4d
Páginas de noticias falsas con temática de IA utilizadas por un actor malicioso no identificado para promover estafas de inversión, presentando a la IA como una autoridad confiable en varios idiomas. Crédito de la imagen: urlscan.io
| Lumitex + AI o + X sufijo | Prefijo/sufijo ATT | Otro |
| --- | --- | --- |
| lumitexaihub[.]com
lumitexaicloud[.]com
lumitexsyncai[.]com
lumitexstackai[.]com
lumitexinsightai[.]com
lumitexconnectx[.]com
lumitexlaunchx[.]com
lumitexgridx[.]com
lumitexbasex[.]com
lumitexflowx[.]com | echoatt[.]com
rocketatt[.]com
tradefyatt[.]com
profitlyatt[.]com
igniteatt[.]com
autopilotatt[.]com
wizardatt[.]com
quietbotatt[.]com
autotradeatt[.]com
attgenius[.]com | tradingideasai[.]com
tradingideasfromai[.]com
star-boostmedia[.]com |
| Tabla 1. Patrones de nombres de dominio RDGA utilizados por un actor anónimo de estafas de inversión que disfraza sus campañas con Keitaro |
Para el conjunto de dominios patrón enumerados en la columna "Otros" de la Tabla 1 anterior, el actor depende en gran medida de los subdominios de los RDGA para controlar el idioma de cada página de destino. La etiqueta principal del nombre de host (por ejemplo, tr, au, br, za, swe, mx, pl) corresponde directamente a una configuración regional o grupo lingüístico específico, indicando algunos de los idiomas a los que se dirige el actor. Cuando un usuario es redirigido a uno de estos subdominios, el sitio web sirve automáticamente contenido en el idioma asociado, lo que permite al actor reutilizar la misma infraestructura y, al mismo tiempo, presentar material localizado y adaptado a cada región. La Tabla 2 muestra el aspecto de estos subdominios.
| Nombre de host | Idioma |
| --- | --- |
| au.star-boostmedia[.]com | Inglés (Australia) |
| br.star-boostmedia[.]com | Portugués (Brasil) |
| can.star-boostmedia[.]com | Inglés (Canadá) |
| mx.star-boostmedia[.]com | Español (México) |
| pl1.tradingideasai[.]com | Polaco |
| swe.star-boostmedia[.]com | Sueco |
| tr.star-boostmedia[.]com | Turco |
| za.star-boostmedia[.]com | Inglés (Sudáfrica) |
| Tabla 2. Subdominios observados y sus idiomas asociados. |
FaiKast
Confiant ha rastreado a FaiKast (derivado de "Fake AI News Broadcast") desde mayo de 2025. FaiKast es un actor malicioso que utiliza videos deepfake generados por IA para suplantar la identidad de presentadores de noticias de televisión y figuras públicas reconocidas (Figura 5). Los deepfakes crean una ilusión de legitimidad y urgencia en torno a esquemas de inversión fraudulentos. Se ha observado que FaiKast ingresa a la cadena de suministro de AdTech principalmente a través de Bigo Ads. Bigo Ads también ha sido objeto de un escrutinio adicional en esta nueva investigación sobre su SDK realizada por Buchodi.
Figura 5. Deepfakes de presentadores de noticias de FaiKast
Las tácticas, técnicas y procedimientos (TTP) típicas de FaiKast son las siguientes:
Etapa 1 (Atracción): Se distribuyen anuncios de vídeo generados por IA con deepfakes de presentadores de noticias a través del ecosistema publicitario, localizados para adaptarse al idioma, la moneda y el ciclo de noticias regional del público objetivo. Entre los países objetivo se incluyen varios países europeos como Francia y el Reino Unido, así como Canadá, Japón y Kazajistán.
Etapa 2 (Aterrizaje): Las víctimas que hacen clic son redirigidas a sitios web que son réplicas casi perfectas de medios de comunicación legítimos (por ejemplo, CBC News). Estas páginas falsas incluyen comentarios de lectores falsificados, imágenes de figuras públicas reales (por ejemplo, el primer ministro canadiense Mark Carney) y llamamientos urgentes a registrarse en plataformas fraudulentas de criptomonedas con nombres como Pyravelon, Tyveralon y Quantum AI. Véanse las figuras 6 y 7 para ver ejemplos.
Etapa 3 (Conversión): Las víctimas son redirigidas a páginas falsas de asistencia gubernamental y portales de inversión fraudulentos.
Figura 6. Ejemplos de páginas de destino de FaiKast que suplantan la identidad de CBC News
Figura 7. Ejemplos adicionales de páginas de destino de FaiKast: llamadas a la acción para registrarse en plataformas falsas de criptomonedas
WickedWally
WickedWally es un grupo de marketing de afiliados engañoso que se dirige a audiencias específicas en Estados Unidos, como personas mayores y personas que necesitan programas de asistencia social, con promesas de alivio de deudas, subsidios para alimentos, beneficios de Medicare y gastos funerarios. Este actor ha estado activo y bajo seguimiento de Confiant desde al menos 2024.
WickedWally utiliza anuncios de vídeo deepfake con IA generativa, a menudo diseñados para parecer noticias, que se aprovechan de la actualidad y un lenguaje ambiguo como: «Debido a la publicación de los aranceles en EE. UU., puede cancelar su deuda de tarjeta de crédito gratis hasta este sábado» (véase la Figura 8 para un ejemplo).
Figura 8. Ejemplo de anuncio de WickedWally que suplanta la identidad de un noticiero de CNN para el dominio de estafa de inversión empowerementplan[.]com
Una página de destino común que utiliza WickedWally es un chatbot falso: una conversación sencilla con un "agente" para "calificar" a la víctima para un beneficio ficticio y generar una falsa sensación de legitimidad. Incitan a los usuarios a llamar a varios números gratuitos con prefijos como 1-844, 888, etc., que redirigen a centros de llamadas de terceros no verificados que presionan a las personas para que compartan su información personal o financiera. Véase la Figura 9. Otras páginas de destino presentan reseñas falsas, sensación de urgencia, logotipos falsos y afirmaciones totalmente irreales.
Figura 9. Ejemplo de página de destino de WickedWally para empowerementplan[.]com, con un falso señuelo de alivio de deuda.
En lugar de usar técnicas de encubrimiento, estas campañas intentan pasar desapercibidas integrándose con el marketing legítimo de generación de leads. A pesar de este enfoque, Keitaro sigue desempeñando un papel fundamental en la infraestructura de entrega, aparentemente para el enrutamiento de puntos finales y el seguimiento de campañas. Según nuestras observaciones, este actor utilizó repetidamente Keitaro Tracker como parte de su cadena de entrega de campañas, lo que lo convierte en una señal útil para identificar actividades relacionadas.
Estafas de soporte técnico (Sin atribución)
El malvertising sigue siendo una fuente importante para descubrir estafas de soporte técnico (TSS). Confiant rastrea a múltiples actores en este espacio que exhiben tácticas, técnicas y procedimientos (TTP) estrechamente alineados. Si bien el encubrimiento es común, Keitaro no se observa con frecuencia en estas cadenas; pero surgió una excepción notable en octubre pasado. En esa campaña, un operador de TSS combinó activos generados por IA en sitios señuelo, una técnica que aumenta la legitimidad percibida y se escala con la producción. Luego, se utilizó Keitaro para redirigir condicionalmente a los visitantes desde los señuelos a páginas de destino fraudulentas u otras cargas útiles según señales como IP, geolocalización, agente de usuario y referente, mientras que se desviaba a los no objetivo a contenido inofensivo. Los señuelos suplantaban marcas o temas populares y utilizaban palabras clave comerciales amplias (por ejemplo, Taylor Swift, zapatos, almohadas, juegos de mesa) para abarcar un amplio espectro en el inventario de búsqueda y publicidad. Este enfoque programático permite al actor producir masivamente páginas que coinciden con diversas consultas, ampliar la cobertura SEO y mantener un flujo constante de tráfico hacia el embudo de la estafa de soporte. Este actor es uno de los primeros en adoptar tecnologías de IA, incluido el generador de texto a imagen DALL-E de OpenAI. Confiant ha estado monitorizando esta actividad desde noviembre de 2023.
Las tácticas, técnicas y procedimientos (TTP) típicas de los actores TSS son las siguientes:
Etapa 1 (Atracción): Se insertan anuncios nativos en espacios publicitarios programáticos en las páginas de los editores. Los anuncios presentan botones verdes prominentes con la palabra "INICIAR", preguntas de tipo test de coeficiente intelectual, ofertas de descarga falsas o temas engañosos (consejos de jardinería, empresas de mudanzas, contenido sobre estilo de vida). Los actores TSS pueden operar dentro de plantillas de anuncios nativos restringidas, que no permiten la ejecución de JavaScript personalizado en el propio anuncio. Los anuncios son cada vez más sofisticados, evolucionando desde simples botones hasta textos publicitarios más elaborados que incluyen llamadas a "ver", "aprender" o "continuar". La Figura 10 muestra un ejemplo de este tipo de anuncios.
Ejemplo de un anuncio nativo utilizado en la Fase 1
Figura 10. Ejemplo de un anuncio nativo utilizado en la Fase 1
Fase 2 (Ocultación y Página de Aterrizaje): Las víctimas que hacen clic acceden a una página de aterrizaje oculta de varios pasos. La primera página generalmente no está oculta y muestra un botón grande de "CONTINUAR", "Comenzar cuestionario" o "Leer más". Esta página actúa como puerta de entrada al contenido malicioso. En segundo plano, los kits de ocultación realizan una identificación del cliente: verifican la geolocalización de la IP (segmentación en EE. UU.), el agente de usuario (Windows vs. macOS), las listas negras de ASN y la presencia de parámetros de URL de clic para confirmar que el visitante llegó a través de un clic en un anuncio de pago. El tráfico que no cumple con los requisitos recibe una página en blanco, generalmente un clon de sitio web de apariencia inofensiva como el de la Figura 11 a continuación.
Figura 11. Página blanca oculta para marrowcliff[.]org
Los temas de las páginas ocultas han evolucionado significativamente con el tiempo y es donde Confiant ha detectado que los actores de TSS utilizan IA. Muchos de estos temas incluyen:
- Páginas de contenido generadas por IA con imágenes DALL-E, que abarcan diversos temas (Taylor Swift, zapatos, almohadas, juegos de mesa).
- Cuestionarios/pruebas de CI falsas (actualmente en declive).
- Sitios web comerciales clonados, copias robadas de agencias de marketing digital, empresas de SEO y plataformas legítimas como Capterra.
- Ventanas modales de consentimiento de cookies que redirigen automáticamente después de dos segundos o ante cualquier interacción del usuario (aceptar o rechazar).
Etapa 3 (Carga útil de TSS): Las víctimas que superan la verificación de huellas digitales son redirigidas mediante HTTP 302 a una página de estafa de soporte técnico, a menudo alojada en Azure Blob Storage (subdominios *.web.core.windows.net). Estas páginas son efímeras y suplantan la identidad de Microsoft o Apple, mostrando alertas de virus falsas, advertencias de troyanos, mensajes de error de Windows Defender (Figura 12) y análisis de sistema falsos. Se insta a las víctimas a llamar a un número de soporte fraudulento. Los estafadores solicitan acceso remoto, realizan diagnósticos falsos y exigen el pago mediante tarjeta de crédito, tarjeta regalo, transferencia bancaria o criptomoneda. Se han reportado pérdidas individuales por víctimas que superan los 40 000 dólares estadounidenses en casos documentados.
¡Alerta falsa de TSS sin ocultar!
Figura 12. Alerta falsa de TSS sin ocultar, escaneo falso y solicitud de pago.
La actividad de TSS se dirige principalmente a usuarios en Estados Unidos, con una lógica de identificación que se centra específicamente en rangos de IP estadounidenses. También se dirige a Japón (con anuncios en japonés), así como a mercados más amplios de habla inglesa y europea.
FishSteaks
Nuestro análisis reveló algunos hallazgos sobre FishSteaks, un grupo consolidado que ha estado activo desde al menos marzo de 2024, probablemente mucho antes. En campañas recientes, hemos observado que FishSteaks está empezando a utilizar Keitaro como mecanismo de enmascaramiento. Ejecutan campañas dirigidas a Estados Unidos y atraen a las víctimas con creatividades convincentes que simulan sorteos, imitando marcas de consumo estadounidenses populares.
Las víctimas son redirigidas a través de páginas de destino gamificadas con múltiples etapas antes de llegar a un sitio de phishing final diseñado para robar información personal y datos de tarjetas de crédito. El grupo demuestra operaciones escalables mediante la rotación de marcas, el ciclo de subdominios y el uso de elementos de marcador de posición generados por IA que se reemplazan por logotipos de marca cuando las campañas se lanzan. Técnicas de gamificación como cajas de premios virtuales y confeti aumentan la interacción de las víctimas y el tiempo de permanencia en la página, lo que impulsa las tasas de conversión.
Las capturas de pantalla de las figuras 13 y 14 a continuación muestran las páginas de destino de los dominios 5000-giftcardswb[.]ru, activos durante todo octubre y de forma esporádica en noviembre, y tryhappycards[.]ru, activo en diciembre. Ambas campañas utilizaron Keitaro y atrajeron a las víctimas con anuncios genéricos que se asemejaban a los widgets de las aplicaciones móviles nativas.
Widgets falsos de la aplicación móvil FishSteaks Widgets falsos de la aplicación móvil FishSteaks Widgets falsos de la aplicación móvil FishSteaks Figura 13. Widgets falsos de la aplicación móvil FishSteaks
Página del sorteo de tryhappycards[.]ru
Figura 14. Página del sorteo de tryhappycards[.]ru
La IA como multiplicador de fuerza, Keitaro como facilitador
En todos nuestros puntos de datos de observación, identificamos miles de ataques que involucran Keitaro. Lo alarmante era la diversidad y el enorme volumen de ciberdelincuentes que operaban en este sector del ecosistema del cibercrimen. Las estafas de inversión eran la categoría de ataque más común, y dentro de ella, las estafas basadas en IA eran las más impactantes. Al combinar un método de fraude de inversión antiguo, pero aún muy efectivo, con tecnologías de IA modernas, los ciberdelincuentes han podido lanzar campañas cibernéticas a gran escala y altamente convincentes. Este enfoque escala y burla las defensas convencionales mediante la combinación de enrutamiento de tráfico condicional (geografía/IP/ASN, agente de usuario/referente, flujos basados en riesgo), contenido personalizado por IA y técnicas de enmascaramiento que muestran páginas inofensivas a los escáneres y señuelos persuasivos a los usuarios reales. En conjunto, estas técnicas reducen la eficacia de los controles de seguridad basados en firmas y reglas, e incrementan las tasas de conversión para los atacantes.
Los ciberdelincuentes se apoyaron en gran medida en la infraestructura DNS y los canales publicitarios para lograr escala y captación de clientes potenciales. La ingeniería social eficaz es fundamental para el éxito de estas campañas, ya que muchas dependen de la interacción del usuario, como el envío de datos de contacto o el seguimiento de instrucciones telefónicas. Por consiguiente, los atacantes ajustan sus tácticas, técnicas y procedimientos (TTP) para maximizar la confianza y la interacción, utilizando habitualmente dominios que imitan la marca, creatividades generadas por IA de alta fidelidad y localizadas para el objetivo, y deepfakes de audio y vídeo para simular representantes de confianza o personalidades de los medios.
Aunque los ataques que abusan de Keitaro suelen ser complejos y de gran alcance, nos alienta la capacidad de respuesta de Apliteni ante la escalada de abusos. Los esfuerzos coordinados de denuncia ya han dado lugar a la desactivación de infraestructuras y cuentas, lo que nos proporciona una vía de remediación viable, incluso mientras los atacantes siguen rotando dominios y creatividades publicitarias.
Próximos pasos
Dado que no pudimos abarcar todos nuestros hallazgos y ejemplos aquí, la segunda parte (de tres) irá más allá de los señuelos con temática de IA para examinar otros esquemas de fraude que utilizan Keitaro y las redes de spam y publicidad que los sustentan. También compartiremos cómo utilizamos la identificación de servidores web y JA4+ para descubrir servidores Keitaro adicionales y detectar actividades de distribución de malware.
Indicadores
Una selección de indicadores relacionados con las amenazas analizadas se puede consultar en la tabla a continuación. Una lista más completa de indicadores se encuentra en nuestro repositorio de GitHub.
Nota: Estos dominios pueden estar asociados con licencias inactivas o robadas.
| Indicadores | Descripción |
| --- | --- |
| fin-zen-ai[.]com
synatra-nexus[.]com
toonie-bot[.]com
veltimo-ai[.]com | Dominios utilizados por un actor malicioso no identificado que lleva a cabo estafas de inversión con plataformas de negociación basadas en IA. Los dominios están asociados con los ejemplos de la Figura 2. |
argea-ai[.]org
el-camino-trader[.]com
mizuai[.]org
myhomequote[.]xyz
nuve-ai-invest[.]vip
nuvei-bot-neway[.]org
nuvei-bot-neway[.]vip
plumaclean[.]com
powerquizmaster[.]com
truenorth-yachts[.]com | Muestra adicional de dominios utilizados por el mismo actor malicioso no identificado que lleva a cabo estafas de inversión, mencionado en la fila anterior. |
| cryptopassive-swiss-switzerland[.]org
nexiroka[.]net
samsosi[.]net
yieldup[.]ch | Dominios utilizados por un actor malicioso no identificado que lleva a cabo estafas de inversión. Los dominios están asociados con los ejemplos de la Figura 3. |
bitget-passive-income[.]com
cardanocrypto[.]ch
clarozenvix[.]com
crypto-nsw-app-au[.]com
gentlevector[.]com
kyvaronedge82[.]com
newton-passive-income[.]net
opulatrix[.]ch
owleblo[.]net wirbeldappix[.]ch | Muestra adicional de dominios utilizados por el mismo actor malicioso no identificado que lleva a cabo estafas de inversión, mencionado en la fila anterior. |
| au[.]lpa1[.]star-boostmedia[.]com
pl[.]star-boostmedia[.]com
pol[.]star-boostmedia[.]com
lumitexchainai[.]com | Dominios utilizados por un actor de amenazas no identificado que lleva a cabo campañas de noticias falsas con temática de IA. Los dominios están asociados con los ejemplos de la Figura 4. |
| lumitexaihub[.]com
lumitexaicloud[.]com
lumitexsyncai[.]com
lumitexstackai[.]com
lumitexinsightai[.]com
lumitexconnectx[.]com
lumitexlaunchx[.]com
lumitexgridx[.]com
lumitexbasex[.]com
lumitexflowx[.]com | Muestra de dominios utilizados por el mismo actor de amenazas no identificado de la fila anterior. Dominios con el patrón "lumitex +AI o sufijo +X" |
echoatt[.]com
rocketatt[.]com
tradefyatt[.]com
profitlyatt[.]com
igniteatt[.]com
autopilotatt[.]com
wizardatt[.]com
quietbotatt[.]com
autotradeatt[.]com
attgenius[.]com | Muestra de dominios utilizados por el mismo actor anónimo de la fila anterior; dominios con el patrón "prefijo/sufijo ATT" |
tradingideasai[.]com
tradingideasfromai[.]com
star-boostmedia[.]com | Dominios utilizados por el mismo actor anónimo de la fila anterior. Dominios sin un patrón común obvio, pero que utilizan subdominios para determinar el idioma de la página. |
| tryhappycards[.]ru | yourluckycard[.]ru | FishSteaks - Estafas de sorteos |
| marrowcliff[.]org | nestledawn[.]org | Estafas de soporte técnico |
| empowerementplan[.]com | financiarmatcher[.]com | WickedWally - Estafas de alivio de deudas |
| levantamiento de riqueza[.]clic
avenidanorte[.]info
fzclbsmartcbeaa[.]com
mcdpwmachineylpdn[.]com
fondos-tesoro[.]com
vwyitsensorjieho[.]com
asignación de fondos[.]com
ingresos en efectivo[.]xyz
cognitivo[.]com
Thrygate[.]com
logithrive[.]com
yoxjsensordkzb[.]com
ggkngpssanil[.]com
zoizagriculturaciva[.]com
tmgmaiwwta[.]com | FaiKast - Imitadores de personajes transmitidos por IA de generación |