Investigadores de Morphisec han alertado sobre una nueva campaña cibernética que está explotando el creciente interés por la inteligencia artificial (IA) para llevar a cabo robos de criptomonedas.
El ataque se basa en plataformas falsas que ofrecen servicios de creación de contenido con IA. Sin embargo, en realidad, distribuyen un malware especializado en robar datos sensibles, incluyendo credenciales de carteras digitales.
En lugar de emplear estrategias tradicionales como el phishing por correo electrónico o la distribución de software pirateado, los delincuentes han optado por crear sitios web temáticos de IA que parecen legítimos.
Para robar criptomonedas, los estafadores promocionan estos sitios en grupos de Facebook y campañas virales en redes sociales, alcanzando a un público masivo. Una sola publicación de estas páginas ha logrado más de 62.000 visualizaciones, según un informe publicado por Morphisec.
Entre las páginas falsas identificadas se encuentran Luma Dreammachine AI, Luma Dreammachine y gratistuslibros. Los contenidos ofrecen supuestos servicios de creación de videos, imágenes, logotipos y sitios web utilizando tecnología de IA. Un ejemplo es un sitio falso que se presenta como “CapCut AI”, prometiendo ser un editor de videos completo con funciones basadas en inteligencia artificial.
Los usuarios que interactúan con estas publicaciones terminan en sitios fraudulentos, donde suben imágenes o videos. Luego, el sitio los induce a descargar un archivo llamado “VideoDreamAI.zip”. Dentro de este archivo comprimido, se encuentra un ejecutable disfrazado con el nombre “Video Dream MachineAI.mp4.exe”, el cual inicia la instalación del malware al ejecutar un archivo legítimo de CapCut.
La secuencia de ejecución también involucra un cargador .NET (CapCutLoader) y un binario Python (srchost.exe) descargado desde un servidor remoto. Este último es responsable de instalar el Noodlophile Stealer, un malware diseñado para recolectar datos de navegadores, credenciales de redes sociales e información de carteras de criptomonedas, facilitando el robo de criptomonedas de manera silenciosa.
En casos específicos, el Noodlophile también se distribuye junto con el troyano de acceso remoto XWorm, lo que permite a los atacantes mantener un control prolongado sobre las máquinas infectadas.
El desarrollador de Noodlophile se encuentra en Vietnam, según un perfil en GitHub creado el 16 de marzo de 2025. El autor se presenta como “desarrollador apasionado por el malware”. Además, la región ya tiene reputación por la actividad de grupos criminales especializados en campañas de robo de datos.
El robo de criptomonedas a través de herramientas falsas de IA no es un fenómeno nuevo. En 2023, Meta eliminó más de mil enlaces maliciosos que utilizaban la imagen de ChatGPT para propagar malwares, afectando a usuarios a nivel global.
Además de Noodlophile, otra amenaza reciente fue detallada por CYFIRMA: PupkinStealer, un malware basado en .NET que exfiltra datos hacia un bot en Telegram. A pesar de su simplicidad, PupkinStealer ejemplifica como herramientas discretas aún son efectivas para la extracción de información confidencial sin ser detectadas.