En los últimos meses, investigadores de ciberseguridad han detectado una campaña maliciosa cada vez más activa que usa herramientas de inteligencia artificial aparentemente legítimas para distribuir malware de forma silenciosa y dirigida.
Según el equipo de Trend Micro, los atacantes están aprovechando la popularidad de aplicaciones potenciadas por IA o relacionadas con la productividad para colar software malicioso en dispositivos de todo el mundo. El malware se ha dirigido a organizaciones en regiones tan diversas como Europa, América, Asia, Medio Oriente y África, lo que muestra el alcance global de esta amenaza.
Los sectores más golpeados hasta ahora incluyen:
Manufactura
Gobierno
Salud
Tecnología
Comercio minorista
Y si hablamos de países, India, Estados Unidos, Francia, Italia, Brasil, Alemania, Reino Unido, Noruega, España y Canadá figuran entre los más afectados. Todo indica que esta campaña, apodada EvilAI, no es un caso aislado, sino un ataque bien organizado que sigue en curso y evoluciona rápidamente.
Los investigadores describen a los atacantes como “altamente sofisticados”, en gran parte porque logran camuflar su malware dentro de aplicaciones que parecen completamente funcionales y legítimas. Básicamente, el software sí hace lo que promete... pero también ejecuta tareas maliciosas en segundo plano.
Esto representa un nuevo nivel de engaño: los usuarios creen estar instalando una app útil, como un editor de PDF o una herramienta de productividad con IA, sin saber que están dejando la puerta abierta a un ataque.
Algunas de las aplicaciones usadas para distribuir el malware incluyen nombres como:
AppSuite
Epi Browser
JustAskJacky
Manual Finder
OneStart
PDF Editor
Recipe Lister
Tampered Chef
Aunque sus nombres suenan inocentes (e incluso útiles), estas apps están diseñadas para robar datos, acceder a sistemas sensibles o abrir la puerta a ataques más complejos en el futuro.
Conoce más sobre: Nuevo Ataque de Spear Phishing Distribuye el Malware DarkCloud
Lo que parecía una simple colección de aplicaciones con nombres inofensivos (como OneStart, ManualFinder o AppSuite) ha resultado ser parte de una campaña de malware mucho más compleja y bien coordinada.
Un análisis profundo realizado por la firma de ciberseguridad G DATA descubrió que todas estas aplicaciones comparten la misma infraestructura de servidor y están siendo operadas por el mismo grupo de actores maliciosos. En otras palabras, no son casos aislados, sino piezas del mismo rompecabezas.
“Han estado vendiendo malware disfrazado de todo tipo de cosas: juegos, recetas, buscadores de manuales… y ahora incluso le ponen ‘IA’ al nombre para hacerlo más atractivo”, explicó Banu Ramakrishnan, investigador de seguridad.
Otro dato clave lo reveló la empresa Expel, que ha estado siguiendo de cerca campañas relacionadas con AppSuite y PDF Editor. Según su informe, los desarrolladores detrás de estas apps han usado al menos 26 certificados de firma de código digital en los últimos siete años. Estos certificados, que suelen utilizarse para verificar la autenticidad de un software, fueron emitidos a empresas con sede en Panamá, Malasia y otros países.
Este enfoque tiene una intención clara: hacer que el software malicioso parezca legítimo a los ojos de los usuarios y de los sistemas de seguridad.
Expel identificó que muchas de las muestras de malware firmadas con estos certificados se agrupan bajo el nombre de BaoLoader, una amenaza que si bien tiene similitudes con otra llamada TamperedChef, presenta diferencias notables en su comportamiento y estructura.
Mientras BaoLoader utiliza certificados de Panamá y Malasia, TamperedChef ha sido vinculado a certificados emitidos a empresas en Ucrania y Reino Unido.
La primera vez que se detectó TamperedChef fue a través de una app de recetas aparentemente inocente, pero que en realidad abría un canal oculto para comunicarse con servidores remotos, recibir comandos y robar información confidencial.
Podría interesarte leer: Riesgos Cibernéticos Ocultos de la Inteligencia Artificial Generativa
Más recientemente, se han detectado nuevas variantes de este malware que se hacen pasar por aplicaciones comunes como calendarios, visores de imágenes o utilidades de escritorio. Estas versiones utilizan tecnologías como NeutralinoJS, una herramienta de desarrollo de apps que permite ejecutar código JavaScript en el escritorio.
El problema es que este tipo de frameworks, aunque legítimos, pueden ser aprovechados por atacantes para:
Ejecutar código malicioso
Acceder al sistema de archivos
Iniciar procesos sin que el usuario lo note
Comunicar con servidores remotos sin ser detectado
Además, se han encontrado técnicas más avanzadas como el uso de homoglifos Unicode, es decir, caracteres visualmente idénticos a los normales, pero que sirven para ocultar cargas maliciosas en respuestas de API aparentemente normales. Esto les permite evadir sistemas de detección basados en firmas o coincidencias de texto.
Uno de los hallazgos más inquietantes es la presencia de múltiples certificados de firma digital diferentes, usados en distintas muestras del malware. Esto sugiere que podría haber un proveedor compartido que ofrece servicios de firma de código a los desarrolladores de estas campañas.
También es posible que estemos viendo un modelo de malware como servicio (MaaS), donde varios grupos utilizan una misma plataforma para distribuir sus variantes, facilitando así su expansión global y su persistencia en el tiempo.
Este tipo de amenazas deja clara una cosa: la apariencia de legalidad ya no es garantía de seguridad. Que una app esté firmada digitalmente o parezca funcional no significa que sea segura.
Por eso, hoy más que nunca es fundamental:
Evitar descargar software desde fuentes no verificadas
Verificar la legitimidad de las herramientas antes de instalarlas
Mantener actualizado el sistema operativo y el software de seguridad
Estar atento a cualquier comportamiento extraño tras instalar nuevas apps
La línea entre lo legítimo y lo malicioso es cada vez más delgada, y los atacantes lo saben. No basta con confiar en la apariencia de una app o su supuesta relación con la inteligencia artificial: hay que contar con herramientas y procesos de defensa realmente efectivos.
Si estás buscando una forma confiable de proteger a tu organización frente a amenazas como las de EvilAI, en TecnetOne ofrecemos soluciones de seguridad avanzadas que pueden marcar la diferencia:
Protección Endpoint con monitoreo en tiempo real: para detectar comportamiento malicioso antes de que cause daño.
Análisis de amenazas basado en inteligencia artificial, capaz de identificar patrones anómalos incluso en software firmado digitalmente.
Auditoría y hardening de sistemas, para reforzar puntos débiles antes de que los atacantes los exploten.
Concientización y capacitación en ciberseguridad, una de las mejores defensas ante campañas de ingeniería social.
Con un enfoque integral que combina tecnología, monitoreo y prevención, en TecnetOne ayudamos a las empresas a mantenerse un paso adelante de las amenazas modernas —incluso aquellas que se esconden tras una apariencia inofensiva. Si aún no cuentas con un plan de ciberseguridad sólido o necesitas reforzar el que ya tienes, vale la pena conocer lo que podemos hacer por tu organización.