Los estafadores utilizan anuncios falsos de Kling AI para difundir malware

Se detectó una serie de estafas de malware dirigidas a usuarios de herramientas de IA generativa . Los atacantes se hicieron pasar por la popular plataforma de IA Kling para propagar software malicioso. Según un análisis detallado de Check Point Research (CPR), la campaña utilizó anuncios falsos en redes sociales y sitios web clonados para engañar a los usuarios y que descargaran archivos maliciosos.

Kling AI es una herramienta de generación de video basada en IA, desarrollada por Kuaishou, una empresa tecnológica china, que convierte textos o imágenes en videos. Lanzada en junio de 2024, la plataforma cuenta con más de seis millones de usuarios registrados. Su popularidad y uso global la convierten en un objetivo lucrativo para los ciberdelincuentes.

El ataque comenzó con anuncios patrocinados de Facebook que promocionaban Kling AI. Los anuncios enlazaban a un sitio web falso diseñado para imitar la interfaz real de Kling AI. Una vez allí, se pedía a los usuarios que subieran una imagen y pulsaran "Generar", una interacción familiar para cualquiera que haya utilizado herramientas generativas.

En lugar de recibir contenido multimedia generado por IA, los usuarios recibían un archivo descargable. Parecía inofensivo, con un nombre similar Generated_Image_2025.jpg , y un icono de imagen estándar. Sin embargo, no se trataba de un archivo de imagen. Era un ejecutable camuflado, diseñado para instalar malware silenciosamente en el sistema del usuario.

Aunque se desconoce el nombre, la familia o el tipo de malware, la primera etapa del ataque se basó en lo que se conoce como enmascaramiento de nombre de archivo . Al dar a un archivo malicioso la apariencia de un formato multimedia común, los atacantes aumentaban la probabilidad de que los usuarios lo abrieran. Una vez instalado, el malware permanecía en el sistema y se ejecutaba cada vez que se encendía el ordenador.

No se detuvo ahí. El verdadero daño se produjo en la segunda etapa, cuando se implementó un troyano de acceso remoto (RAT) en los sistemas comprometidos. Esta herramienta conectaba el sistema comprometido a un centro de comando externo. Esto permitió a los atacantes monitorear la actividad, recopilar datos almacenados del navegador e incluso tomar el control total del sistema sin el conocimiento de la víctima.

Check Point informa que cada variante de RAT utilizada en esta campaña fue ligeramente modificada, probablemente para evitar la detección por herramientas antivirus. Algunas muestras llevaban nombres internos como " Kling AI Test Startup " o marcadores fechados como "Kling AI 25/03/2025", lo que sugiere que el grupo responsable del ataque ha estado probando y ajustando activamente sus métodos.

Aunque aún se investiga la identidad de los atacantes, CPR encontró indicios que vinculan la operación con grupos con sede en Vietnam . Estas pistas incluyen cadenas de depuración en vietnamita dentro del malware y similitudes con campañas anteriores que utilizaron Facebook como canal de distribución.

Grupos cibercriminales de la región han sido vinculados a incidentes anteriores relacionados con anuncios falsos y malware de robo de datos en Facebook . Esta operación se ajusta a ese patrón y marca un paso más en la adaptación de las ciberamenazas a las tendencias digitales actuales.

Las herramientas generativas de IA son cada vez más populares y los atacantes encuentran maneras de aprovechar esta popularidad. Al copiar la apariencia de servicios confiables, hacen que la gente asuma que son legítimos, especialmente cuando el sitio falso parece elegante y real.

Check Point recomienda a los usuarios tener cuidado con los anuncios patrocinados y verificar siempre la fuente antes de descargar cualquier cosa.