Investigadores identifican sitios falsos que simulan ofrecer DeepSeek AI para atraer a usuarios avanzados y comprometer sistemas con privilegios elevados. La amenaza se dirige especialmente a administradores, desarrolladores e investigadores técnicos.
Imagen: Kaspersky
Equipos de investigación de Kaspersky han detectado una sofisticada campaña de ciberataques que utiliza la popularidad de las herramientas de inteligencia artificial para infiltrar malware en los equipos de profesionales del sector tecnológico. La operación se vale de sitios web fraudulentos que imitan la interfaz del chatbot DeepSeek AI, con el objetivo de distribuir software malicioso a través de descargas aparentemente legítimas.
Los ataques están dirigidos específicamente a perfiles técnicos como administradores de sistemas, desarrolladores y especialistas en infraestructura IT, aprovechando su interés en ejecutar modelos de IA de forma local para ganar independencia de la nube y controlar mejor la privacidad de los datos.
Según Kaspersky, los atacantes utilizan archivos disfrazados de Ollama, un marco de código abierto muy utilizado para ejecutar IA generativa en entornos locales. Esta estrategia permite que el malware se infiltre en dispositivos operados por usuarios con altos privilegios, creando una puerta de entrada hacia redes empresariales más amplias.
“El atractivo de ejecutar herramientas de IA localmente es real, pero también representa un vector emergente de riesgo para usuarios avanzados. Lo que comienza como una instalación individual puede derivar en un incidente corporativo a gran escala”, advierte María Isabel Manjarrez, investigadora del equipo de análisis de amenazas de Kaspersky para América Latina.
La investigación detecta que el malware se distribuye a través de dominios falsos como app.delpaseek[.]com, app.deapseek[.]com y dpsk.dghjwd[.]cn, desde donde se promueve un supuesto instalador de DeepSeek. Una vez ejecutado, el código malicioso establece túneles de comunicación encubiertos mediante el protocolo KCP, permitiendo acceso remoto persistente al sistema comprometido. Esta amenaza es clasificada como Backdoor.Win32.Xkcp.a por los sistemas de detección de Kaspersky.
La operación no se limita a un único vector. Una campaña paralela detecta otros dominios como deep-seek[.]bar y deep-seek[.]rest que integran técnicas avanzadas de evasión, incluyendo esteganografía —ocultamiento de código dentro de archivos inofensivos— e inyección de procesos, que permite al malware operar dentro de procesos legítimos del sistema. Esta variante es identificada como Trojan.Win32.Agent.xbwfho.
Ambas campañas tienen un patrón común: apuntan a profesionales con acceso privilegiado y alto nivel técnico, convirtiendo sus dispositivos personales en posibles puntos de entrada a redes corporativas, sistemas críticos o infraestructura sensible.
️ Recomendaciones de seguridad
Frente a estas amenazas, Kaspersky recomienda una estrategia defensiva basada en tres pilares:
- Control de aplicaciones: Implementar soluciones con políticas de restricción que impidan la instalación de software no autorizado, incluso si aparenta ser legítimo.
- Capacitación especializada en ciberseguridad: Formar a equipos técnicos sobre tácticas de ingeniería social dirigidas al sector TI, con énfasis en los riesgos de descargar herramientas no verificadas.
- Protección de endpoints avanzada: Desplegar plataformas de seguridad empresarial con detección en tiempo real. La familia de soluciones Kaspersky Next integra estas capacidades para proteger entornos con usuarios de alto nivel técnico.
Esta campaña pone en evidencia una nueva fase en la evolución del malware: ataques dirigidos específicamente a quienes tradicionalmente se consideran usuarios “duros” o de alto conocimiento técnico, aprovechando su autonomía, su rol en las organizaciones y el auge de la inteligencia artificial. La confianza en entornos de código abierto y la creciente necesidad de ejecutar soluciones locales se convierten, en este contexto, en una nueva superficie de riesgo.
La detección temprana y la concienciación serán clave para evitar que herramientas diseñadas para empoderar terminen siendo vehículos de vulnerabilidad. Mientras tanto, las empresas deberán reforzar sus políticas internas para garantizar que la adopción de nuevas tecnologías no abra inadvertidamente la puerta a actores maliciosos.
