Cisco Talos, división de ciberinteligencia de Cisco, ha identificado una nueva oleada de amenazas informáticas que utilizan como señuelo falsos instaladores de herramientas de Inteligencia Artificial (IA). Entre ellas se encuentran el ransomware CyberLock, la variante Lucky_Gh0$t y un malware destructivo de reciente aparición denominado Numero, cuya principal característica es la manipulación de los componentes gráficos en sistemas Windows hasta dejarlos inutilizables.
Numero: malware destructivo que paraliza la interfaz gráfica
El hallazgo más reciente, denominado Numero, se hace pasar por un instalador legítimo del servicio InVideo AI. Su mecanismo consiste en desplegar varios componentes maliciosos, entre ellos un ejecutable que ejecuta de manera repetitiva un proceso encargado de modificar ventanas, títulos y botones del escritorio del usuario.
Este comportamiento convierte los equipos afectados en dispositivos inoperativos, al sobrescribir de forma constante la interfaz con cadenas numéricas. Talos precisa que el malware fue compilado en enero de 2025 y que está programado para detectar y evadir herramientas de análisis y depuración como IDA, x64debugger o Windbg, lo que dificulta su estudio forense.
CyberLock: ransomware con señuelo humanitario
El ransomware CyberLock, desarrollado en PowerShell, utiliza un archivo loader distribuido a través de un dominio fraudulento, novaleadsai[.]com, diseñado para imitar la plataforma de monetización novaleads.app. El ejecutable malicioso, bajo el nombre NovaLeadsAI.exe, despliega el ransomware al ser ejecutado.
CyberLock cifra archivos en las particiones principales del sistema, añade la extensión .cyberlock y deja un archivo de rescate en el escritorio. En él, los atacantes exigen el pago de 50.000 dólares en la criptomoneda Monero, bajo la amenaza de publicar información sensible. Además, aseguran que el dinero se destinará a causas humanitarias en Palestina, Ucrania, África y Asia, una estrategia psicológica para presionar a las víctimas.
Cisco Talos aclara que, pese a las amenazas, no encontró indicios de exfiltración de datos en el código analizado. Asimismo, los atacantes emplean técnicas como el uso del comando nativo de Windows cipher.exe con la opción /w para eliminar rastros y dificultar la recuperación de archivos eliminados.
Lucky_Gh0$t: la sexta iteración de Chaos
Otra de las amenazas detectadas es Lucky_Gh0$t, un ransomware que forma parte de la familia Chaos en su sexta evolución. Se distribuye en archivos comprimidos que simulan ser instaladores de ChatGPT 4.0 en versión premium.
El paquete incluye herramientas legítimas de Microsoft para enmascarar el malware y reducir la probabilidad de detección por los sistemas de seguridad. Una vez activo, cifra archivos menores a 1,2 GB con algoritmos AES-256 y RSA-2048, añadiendo extensiones aleatorias, mientras que los archivos de mayor tamaño son sustituidos por copias vacías con un único carácter, lo que introduce un componente destructivo.
La nota de rescate incluye un identificador personal y ordena a las víctimas comunicarse a través de la plataforma getsession[.]org.
Estrategias de distribución: SEO y mensajería
Talos advierte que los actores detrás de estas campañas utilizan técnicas de SEO poisoning para manipular los resultados en buscadores y colocar páginas fraudulentas en posiciones destacadas. También se distribuyen enlaces en canales como Telegram o aplicaciones de mensajería.
Este método amplifica el riesgo para empresas que buscan soluciones de IA, ya que pueden descargar versiones falsas de herramientas populares. El impacto potencial incluye la pérdida de datos críticos, la exposición de información corporativa y la interrupción de operaciones.
Riesgo para el mercado empresarial de IA
La popularidad de las herramientas de IA en sectores como marketing, ventas B2B o desarrollo tecnológico ha sido aprovechada como vector de ataque. El uso de instaladores fraudulentos que imitan aplicaciones conocidas no solo pone en riesgo la integridad de los sistemas, sino que además erosiona la confianza en el ecosistema de software basado en inteligencia artificial.
Cisco Talos enfatiza que la vigilancia y la verificación de proveedores resultan esenciales para evitar compromisos. El informe publicado por la división de seguridad incluye indicadores de compromiso (IoCs) disponibles en su repositorio de GitHub, además de reglas para sistemas de detección como Snort y firmas para ClamAV.
Amenazas persistentes y evolución limitada
Aunque algunas de las variantes analizadas presentan evoluciones técnicas menores —como el caso de Lucky_Gh0$t—, el hecho de que sigan circulando evidencia la persistencia de familias de malware conocidas. El descubrimiento de Numero, en cambio, muestra una línea más destructiva orientada a la inutilización completa de sistemas, con especial impacto en entornos empresariales dependientes de la disponibilidad continua de sus equipos.
El análisis de Cisco Talos concluye que la convergencia entre la popularidad de la IA y la sofisticación de campañas de distribución fraudulentas refuerza la necesidad de controles más estrictos en descargas, revisiones periódicas de seguridad y la utilización de proveedores verificados como medida preventiva.
