Anuncios falsos de herramientas de vídeo con IA en Facebook y LinkedIn difunden información falsa

Mandiant Threat Defense descubre una campaña en la que el grupo UNC6032 con sede en Vietnam engaña a los usuarios con anuncios maliciosos en las redes sociales para obtener herramientas de video de inteligencia artificial falsas, lo que lleva al robo de credenciales e información de tarjetas de crédito.

Mandiant Threat Defense ha descubierto una extensa operación de ciberdelincuencia que se aprovecha del entusiasmo del público por las nuevas herramientas de IA . Un grupo conocido como UNC6032, que se cree tiene su sede en Vietnam, está engañando a los usuarios con anuncios falsos en redes sociales que parecen promocionar generadores de vídeo de IA populares, como Luma AI y Canva Dream Lab.

Según la investigación de Mandiant, compartida con Hackread.com, UNC6032 ha estado publicando anuncios engañosos en plataformas como Facebook y LinkedIn desde mediados de 2024. Estos anuncios dirigen a los usuarios a sitios web falsos que parecen ofrecer servicios de generación de videos con IA.

Sin embargo, estos sitios descargan en secreto software dañino, como ladrones de información y puertas traseras , que roban información confidencial, como credenciales de inicio de sesión y datos personales. Es probable que los datos robados se vendan en mercados ilegales en línea.

Este tipo de ataque es una gran preocupación para todos, desde particulares hasta grandes empresas. De hecho, según el informe M-Trends 2025 de Mandiant, el robo de credenciales es la segunda forma más común de acceso a los sistemas por parte de los ciberdelincuentes. Mandiant ha detectado miles de estos anuncios, que llegan a millones de usuarios, y cree que existen campañas similares en otras redes sociales.

Por ejemplo, un ataque específico que Mandiant investigó comenzó con un anuncio de Facebook para Luma Dream AI Machine. Cuando un usuario hacía clic en "Comienza gratis ahora", se le guiaba por una serie de pasos que imitaban un proceso real de creación de videos con IA.

Tras una barra de carga, apareció un botón de descarga, que instaló el software malicioso en lugar de un vídeo. Los archivos usaban un truco con caracteres ocultos y un icono .mp4 falso para parecer inofensivos, pero en realidad eran archivos ejecutables peligrosos.

El software malicioso utilizado en estos ataques, que Mandiant identifica como STARKVEIL, es un programa complejo escrito en Rust . Puede mostrar mensajes de error falsos para engañar a los usuarios y que reabran el programa. Posteriormente, el software instala otras herramientas peligrosas como XWORM , puertas traseras FROSTRIFT y el descargador GRIMPULL.

Estas herramientas permiten a los atacantes controlar el ordenador, robar más información, registrar las pulsaciones de teclas y comprobar el software de seguridad. GRIMPULL, por ejemplo, puede descargar y ejecutar el navegador Tor para conectarse a los servidores ocultos de los delincuentes. XWORM incluso envía la información robada a los atacantes por Telegram.

Según la publicación del blog de Mandiant Threat Defense, la empresa está colaborando con Meta y LinkedIn para combatir esta campaña. Si bien Meta ha eliminado muchos de estos anuncios, aparecen nuevos a diario. Esta amenaza constante requiere la colaboración constante de toda la industria tecnológica para proteger a los usuarios.

Yash Gupta, gerente sénior de Mandiant Threat Defense, advierte que «los sitios web bien diseñados que se hacen pasar por herramientas legítimas de IA pueden representar una amenaza para cualquiera... Los usuarios deben tener cuidado al interactuar con anuncios aparentemente inofensivos».

Es un hecho que las herramientas de IA se están volviendo populares, y los ciberdelincuentes seguirán aprovechando este interés. Se recomienda a los usuarios ser cautelosos al probar nuevas herramientas de IA y verificar la dirección del sitio web antes de interactuar.