{"id":27985,"date":"2025-03-12T23:22:22","date_gmt":"2025-03-13T05:22:22","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27985"},"modified":"2025-03-12T23:22:22","modified_gmt":"2025-03-13T05:22:22","slug":"trojans-disguised-as-deepseek-grok-clients","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/trojans-disguised-as-deepseek-grok-clients\/27985\/","title":{"rendered":"Troyanos que se hacen pasar por clientes de DeepSeek y Grok"},"content":{"rendered":"

A principios de 2025, el chatbot chino DeepSeek irrumpi\u00f3 en la escena de la IA. Provoc\u00f3 muchos comentarios y controversias en todo el mundo: era dif\u00edcil no darse cuenta de la similitud de su logotipo con el nuestro<\/a>, las comparaciones con ChatGPT eran abundantes<\/a>, y en Italia, Corea del Sur, Australia y otros pa\u00edses, DeepSeek fue bloqueado por completo<\/a>. El revuelo fue, y sigue siendo, intenso, incluso entre los ciberdelincuentes.<\/p>\n

Hemos descubierto varios grupos de sitios que imitan el sitio web oficial del chatbot y distribuyen c\u00f3digo malicioso bajo la apariencia de lo que parece ser un cliente leg\u00edtimo. Para descubrir exactamente c\u00f3mo operan estos cibervillanos y c\u00f3mo utilizar la IA de forma segura, sigue leyendo.<\/p>\n

Scripts maliciosos y geofencing<\/h2>\n

Se detectaron varios mecanismos de distribuci\u00f3n de malware, todos ellos con el uso de sitios web falsos de DeepSeek como denominador com\u00fan. La diferencia radica en qu\u00e9 se distribuy\u00f3 a trav\u00e9s de estos sitios y c\u00f3mo. En este art\u00edculo, se analiza a fondo uno de estos mecanismos; para m\u00e1s informaci\u00f3n sobre los dem\u00e1s, consulta nuestro informe completo sobre Securelist<\/a>.<\/p>\n

\u00bfQu\u00e9 pensar\u00edas si entraras a un sitio web con el dominio deepseek-pc-ai[.]com<\/em> o deepseek-ai-soft[.]com<\/em>? Probablemente, supongas que puedes encontrar all\u00ed alg\u00fan software relacionado con DeepSeek. \u00bfY qu\u00e9 tipo de software podr\u00eda ser ese? \u00a1Un cliente de DeepSeek, por supuesto! Y, en efecto, ver\u00e1s r\u00e1pidamente el llamativo bot\u00f3n Descargar<\/strong> y el ligeramente m\u00e1s opaco bot\u00f3n Empezar ahora<\/strong> que reciben a los visitantes del sitio.<\/p>\n

\"P\u00e1gina<\/a>

P\u00e1gina web falsa de DeepSeek<\/p><\/div>\n

Cualquiera sea el bot\u00f3n al que le hagas clic, se iniciar\u00e1 la descarga del instalador. Pero hay un detalle: una vez iniciado, en lugar de instalar DeepSeek, el instalador accede a URL maliciosas y manipula scripts para activar el servicio SSH en Windows y configurarlo de modo tal que funcione con las claves de los atacantes. Esto les permite conectarse de forma remota al ordenador de la v\u00edctima, que ni siquiera recibe como consuelo un cliente DeepSeek para Windows que, por cierto, no existe.<\/p>\n

Curiosamente, los sitios falsos utilizan geofencing<\/a>, que restringe el acceso sobre la base de la regi\u00f3n de la direcci\u00f3n IP. Por ejemplo, los usuarios de Rusia en estos dominios vieron un sitio sencillo con textos vac\u00edos sobre DeepSeek, probablemente generado por el propio DeepSeek o por un gran modelo de lenguaje<\/a> diferente. Sin embargo, los visitantes de otros pa\u00edses eran conducidos al sitio malicioso que distribu\u00eda el cliente falso.<\/p>\n

Un mill\u00f3n de visitas en X<\/h2>\n

El principal vector de distribuci\u00f3n de enlaces a URL maliciosas fueron las publicaciones en la red social X (antes Twitter). Una de las entradas m\u00e1s populares (ahora eliminada) se public\u00f3 desde la cuenta de la startup australiana Lumina Vista, la cual, seg\u00fan fuentes p\u00fablicas<\/a>, no tiene m\u00e1s de 10\u00a0empleados. La cuenta de la empresa est\u00e1 en sus primeras etapas: reci\u00e9n obtuvo la codiciada marca azul en febrero de 2025 y cuenta con apenas una decena de publicaciones y menos de 100\u00a0suscriptores. Sin embargo, la publicaci\u00f3n que promociona el sitio falso de DeepSeek obtuvo 1,2\u00a0millones de visitas y m\u00e1s de 100\u00a0reposteos. \u00bfUn poco sospechoso? Investigamos las cuentas que lo repostearon y concluimos que podr\u00edan ser bots, ya que todas usan la misma convenci\u00f3n de nomenclatura e identificadores en la secci\u00f3n de la bio. Por cierto, es muy posible que la cuenta de Lumina Vista haya sido simplemente pirateada y utilizada para la promoci\u00f3n pagada de la publicaci\u00f3n de los atacantes.<\/p>\n

\"\u00bfM\u00e1s<\/a>

\u00bfM\u00e1s de 1,2\u00a0millones de visitas en una cuenta casi vac\u00eda? Huele a promoci\u00f3n pagada<\/p><\/div>\n

En los comentarios, algunos usuarios se\u00f1alaron que el enlace conduce a un sitio malicioso, pero eran minor\u00eda; el resto simplemente expresaba sus opiniones sobre DeepSeek, Grok y ChatGPT. Sin embargo, ninguno de los comentarios se\u00f1al\u00f3 lo obvio: DeepSeek no tiene un cliente nativo para Windows, y solo se puede acceder a \u00e9l mediante un navegador. Tambi\u00e9n puedes ejecutar DeepSeek localmente,<\/a> pero eso requiere un software especializado.<\/p>\n

C\u00f3mo utilizar la IA de forma segura<\/h2>\n

En la actualidad, no es f\u00e1cil evaluar la escala de este y otros mecanismos maliciosos que involucran p\u00e1ginas falsas de DeepSeek. Pero una cosa es segura: estas campa\u00f1as son masivas y no est\u00e1n dirigidas a usuarios espec\u00edficos. Sin embargo, se est\u00e1n desarrollando muy r\u00e1pido: poco despu\u00e9s del anuncio de Grok-3, los atacantes comenzaron a ofrecer la descarga de su cliente tanto desde el dominio v3-grok[.]com<\/em> como desde v3-deepseek[.]com<\/em>. En efecto, \u00bfcu\u00e1l es la diferencia entre Grok y DeepSeek?<\/p>\n

Sin protecci\u00f3n confiable<\/a>, cualquier entusiasta de la IA est\u00e1 en riesgo. Por eso es fundamental seguir las normas y recomendaciones de seguridad al utilizar IA.<\/p>\n