Hitachi Vantara potencia el almacenamiento híbrido en Azure
Sophos detecta una campaña que usa una falsa página de Claude AI para distribuir malware mediante anuncios y SEO malicioso.
La explosión de la inteligencia artificial generativa está creando un nuevo problema para las áreas de ciberseguridad. Lo que comenzó como una carrera empresarial por adoptar asistentes basados en IA ahora se está convirtiendo también en un terreno fértil para campañas de malware cada vez más sofisticadas.
Investigadores de Sophos detectaron una operación maliciosa que utiliza una falsa página de Claude AI para distribuir malware mediante anuncios patrocinados y técnicas de SEO poisoning. El objetivo es simple: aprovechar la confianza y el reconocimiento que han ganado las plataformas de inteligencia artificial para comprometer equipos corporativos y personales.
La campaña, documentada por el equipo de Sophos X-Ops, evidencia cómo los atacantes están adaptando tácticas tradicionales de infección al auge de herramientas como Anthropic y su asistente Claude.
Malware Claude AI: cuando la IA se convierte en vector de ataque
De acuerdo con la investigación, los atacantes crearon un dominio fraudulento identificado como “claude-pro[.]com”, diseñado para replicar visualmente la experiencia del sitio oficial de Claude AI.
La lógica detrás de la campaña es particularmente efectiva porque explota un comportamiento cada vez más común: usuarios y empleados buscando herramientas de IA directamente desde buscadores o anuncios patrocinados.
En lugar de descargar una aplicación legítima, las víctimas instalan archivos infectados capaces de abrir puertas traseras en los sistemas comprometidos.
Lo relevante del hallazgo no es únicamente el uso de una marca reconocida. Sophos descubrió además un backdoor previamente no documentado, bautizado como “Beagle”, lo que sugiere que los grupos detrás de esta operación están desarrollando herramientas propias orientadas a campañas más persistentes y difíciles de detectar.
Según Sophos X-Ops, “los ciberdelincuentes están aprovechando rápidamente el interés global en herramientas de inteligencia artificial para desarrollar campañas cada vez más convincentes y peligrosas”.
Técnicas clásicas con una nueva narrativa
La investigación muestra que, aunque el discurso gira alrededor de la inteligencia artificial, muchas de las técnicas utilizadas siguen siendo conocidas dentro del ecosistema de malware avanzado.
Entre ellas destacan:
- DLL sideloading
- Uso de componentes legítimos firmados digitalmente
- Malware cargado directamente en memoria mediante Donut Loader
- Infraestructura maliciosa disfrazada de proveedores de seguridad
El archivo distribuido desde el sitio falso instala múltiples componentes sospechosos, incluyendo archivos como NOVupdate.exe y avk.dll, que posteriormente establecen comunicación con servidores de comando y control (C2).
Desde allí, los atacantes pueden ejecutar comandos remotos, descargar archivos adicionales, manipular directorios y mantener persistencia dentro de los dispositivos infectados.
El patrón refleja una evolución clara en las campañas de malware modernas: menos dependencia de técnicas ruidosas y mayor foco en aparentar legitimidad.
La IA amplifica el alcance del phishing y el malvertising
El crecimiento masivo de herramientas de IA generativa está ampliando también la superficie de ataque.
Según datos del estudio Our Life with AI de Ipsos y Google, un 73% de los chilenos cree que la inteligencia artificial tendrá un impacto positivo en sus vidas. Esa percepción de confianza es precisamente la que los atacantes están capitalizando.
Sophos advirtió que esta campaña no parece aislada. Los investigadores identificaron múltiples dominios sospechosos asociados con marcas de ciberseguridad reconocidas como CrowdStrike, SentinelOne y Trellix.
La señal es preocupante porque apunta a operaciones más amplias basadas en malvertising, phishing y manipulación de resultados de búsqueda.
El problema ya no es únicamente tecnológico. También es cultural. La velocidad con la que empresas y usuarios están incorporando herramientas de IA está superando, en muchos casos, los procesos de validación y seguridad.
La presión ahora está sobre los equipos de seguridad
El crecimiento de la IA generativa está obligando a las organizaciones a replantear políticas básicas de acceso, descarga de software y validación de herramientas externas.
Sophos recomienda descargar aplicaciones únicamente desde sitios oficiales, evitar anuncios patrocinados sospechosos y verificar cuidadosamente las URLs antes de instalar software.
Sin embargo, el desafío es más profundo. Las áreas de ciberseguridad ahora deben gestionar un escenario donde los atacantes ya entienden el poder de las marcas asociadas a IA y saben cómo convertirlas en vehículos de infección altamente convincentes.
La investigación completa publicada por Sophos X-Ops Research Blog ofrece detalles técnicos adicionales sobre la campaña y las tácticas utilizadas por los atacantes.
