A medida que la IA generativa sigue captando la atención mundial, los actores de amenazas se apresuran a explotar sus capacidades y popularidad.
Desde estafas deepfake hasta ataques de suplantación de identidad, la creciente confianza en las plataformas basadas en IA ha creado nuevas oportunidades para los ciberdelincuentes.
A principios de 2025, Check Point Research comenzó a rastrear una sofisticada campaña de amenazas que capitalizó esta tendencia, específicamente suplantando la identidad de Kling AI, una herramienta de síntesis de imágenes y videos ampliamente utilizada con más de 6 millones de usuarios.
Esta campaña, propagada a través de anuncios falsos en Facebook y páginas falsificadas, finalmente dirigía a los usuarios a un sitio web falso diseñado para distribuir una carga maliciosa.
Acá se analizan las tácticas utilizadas en esta campaña y examinamos cómo los atacantes se aprovechan de la credibilidad de los servicios de IA generativa para engañar a los usuarios y propagar malware.
Cómo las amenazas atacan la confianza en las plataformas generativas, aprovechando el auge de la IA
- A principios de 2025, Check Point Research identificó una campaña de ciberataque que aprovechaba la popularidad de Kling AI, un servicio de IA Generativa. El ataque comenzó con anuncios engañosos en redes sociales que dirigían a un sitio web falso diseñado para engañar a los usuarios y que descargaran archivos maliciosos
- El ataque utilizó páginas y anuncios falsos de Facebook para distribuir un archivo malicioso que finalmente provocó la ejecución de un troyano de acceso remoto (RAT), otorgando a los atacantes control remoto del sistema de la víctima y la capacidad de robar datos confidenciales
- El malware implementado en esta campaña incluía técnicas avanzadas de evasión, como el enmascaramiento de archivos para camuflar archivos ejecutables dañinos como archivos multimedia inofensivos, y amplios métodos antianálisis para evitar su detección
- Threat Emulation y Harmony Endpoint de Check Point ofrecen una protección robusta contra las técnicas y amenazas descritas en esta campaña, garantizando la defensa contra archivos maliciosos, herramientas de acceso remoto y ataques dirigidos de ingeniería social
De anuncios falsos a descargas falsas
El ataque comienza con anuncios falsos en redes sociales. Desde principios de 2025, nuestro equipo ha identificado alrededor de 70 publicaciones patrocinadas que promocionan falsamente la popular herramienta de inteligencia artificial Kling AI.
Estos anuncios provienen de páginas de Facebook convincentes, pero fraudulentas, diseñadas para simular la identidad de la empresa.
Al hacer clic en uno de estos anuncios, los usuarios acceden a un sitio web falso que imita fielmente la interfaz real de Kling AI. Al igual que la herramienta real, el sitio invita a los usuarios a subir imágenes y hacer clic en el botón "Generar" para ver los resultados generados por IA.
Sin embargo, en lugar de mostrar una imagen o un vídeo, el sitio ofrece una descarga que parece ser un archivo con un nuevo archivo multimedia generado por IA.
El archivo descargado está diseñado para parecer una imagen inofensiva, con un nombre como Generated_Image_2025.jpg e incluso un icono familiar. Sin embargo, tras esta apariencia aparentemente inofensiva se esconde algo peligroso: el archivo es un programa camuflado que pretende comprometer el sistema del usuario.
Esta técnica, conocida como enmascaramiento de nombre de archivo, es una táctica común utilizada por los cibercriminales para engañar a los usuarios y que ejecuten software malicioso.
Una vez abierto, el programa se instala silenciosamente y se reinicia automáticamente cada vez que se enciende el ordenador. También busca cualquier indicio de que esté siendo vigilado o analizado por herramientas de ciberseguridad e intenta evitar ser detectado.
Control silencioso con herramientas de acceso remoto
Tras abrir el archivo falso inicial, se activa una segunda amenaza más grave. En esta etapa se instala un troyano de acceso remoto (RAT), un malware que permite a los atacantes tomar el control del ordenador de la víctima a distancia.
Cada versión de esta herramienta se modifica ligeramente para evitar su detección, pero todas incluyen un archivo de configuración oculto que se conecta al servidor de los atacantes.
Estos archivos también contienen nombres de campaña como "Kling AI 25/03/2025" o "Kling AI Test Startup", lo que sugiere pruebas y actualizaciones continuas por parte de los actores de la amenaza.
Una vez instalado, el malware comienza a monitorear el sistema, especialmente los navegadores web y las extensiones que almacenan contraseñas u otros datos confidenciales, algo que permite a los atacantes robar información personal y mantener el acceso a largo plazo.
Una estrategia familiar: Rastreando la campaña
Si bien se desconoce la identidad exacta de los atacantes, la evidencia sugiere firmemente vínculos con actores de amenazas vietnamitas.
Las estafas y campañas de malware basadas en Facebook son una táctica conocida entre los grupos de la región, especialmente aquellos enfocados en el robo de datos personales.
En este caso, nuestro análisis reveló múltiples pistas que apuntan en esa dirección.
Campañas similares centradas en herramientas de IA ya contenían términos en vietnamita dentro del código del malware.
En consonancia con este patrón, también encontramos varias referencias, como mensajes de depuración, en vietnamita en esta última campaña.
Estos hallazgos coinciden con las tendencias más generales observadas por otros investigadores de seguridad que investigan iniciativas similares de malvertising en Facebook.
Defensa contra la nueva cara de las amenazas basadas en IA
A medida que las herramientas de IA generativa se vuelven más populares, los ciberdelincuentes encuentran nuevas formas de explotar esa confianza.
Esta campaña, que suplantaba la identidad de Kling AI mediante anuncios falsos y sitios web engañosos, demuestra cómo los actores de amenazas combinan la ingeniería social con malware avanzado para acceder a los sistemas y datos personales de los usuarios.
Con tácticas que van desde la suplantación de identidad de archivos hasta el acceso remoto y el robo de datos, e indicios que apuntan a grupos de amenazas vietnamitas, esta operación se enmarca en una tendencia más amplia de ataques cada vez más selectivos y sofisticados basados en redes sociales.
Para ayudar a las organizaciones a mantenerse protegidas, Check Point Threat Emulation y Harmony Endpoint ofrecen una cobertura integral de los métodos de ataque, tipos de archivos y sistemas operativos, bloqueando eficazmente las amenazas descritas en este informe.
Como siempre, la detección proactiva de amenazas y la concienciación del usuario siguen siendo esenciales para defenderse de las ciberamenazas en constante evolución.
:quality(85)/https://assets.iproup.com/assets/jpg/2021/04/18032_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/06/43021_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2024/05/38671_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2023/06/35085_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/06/43017_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/06/43006_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/06/42994_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2021/10/23149_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/06/42991_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/02/41956_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpeg/2024/09/40079_landscape.jpeg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/05/42798_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2023/01/32870_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2025/01/41588_landscape.jpg)
:quality(85)/https://assets.iproup.com/assets/jpg/2024/09/39930_landscape.jpg)