Noodlophile Stealer
Los ciberdelincuentes se aprovechan de la creciente demanda de herramientas basadas en IA creando plataformas falsas y convincentes para inducir a los usuarios a descargar un peligroso malware que roba información llamado Noodlophile. A diferencia de las estafas de phishing tradicionales o los sitios de distribución de software pirateado, estos actores crean sitios web con temática de IA que parecen legítimos y los promocionan mediante campañas virales en redes sociales y grupos de Facebook.
Tabla de contenido
Ingeniería social a través de las redes sociales
Estas campañas falsas se distribuyen astutamente en redes sociales, y algunas publicaciones acumulan más de 62.000 visitas cada una. Las páginas se hacen pasar por servicios reales de creación de contenido con IA y están dirigidas a usuarios que buscan herramientas de edición de vídeo e imágenes. Entre los perfiles falsos más conocidos se encuentran «Luma Dreammachine AI», «Luma Dreammachine» y «gratistuslibros».
Demasiado bueno para ser verdad: la trampa de la IA
Una vez que los usuarios interactúan con las publicaciones, se les dirige a descargar lo que creen que son servicios mejorados con IA para crear videos, imágenes, logotipos o sitios web. Un sitio fraudulento incluso imita a CapCut AI, afirmando ofrecer un editor de video todo en uno con funciones avanzadas de IA.
La cadena de infección comienza
Tras subir sus mensajes multimedia, se les pide a los usuarios que descarguen el resultado generado por IA. Sin embargo, en lugar de recibir el contenido, descargan sin saberlo un archivo ZIP malicioso llamado VideoDreamAI.zip. Dentro hay un ejecutable camuflado: Video Dream MachineAI.mp4.exe. Al ejecutar este archivo, se desencadena una reacción en cadena, que comienza con la ejecución del archivo legítimo CapCut.exe de ByteDance.
Este binario legítimo sirve como cortina de humo para cargar un componente basado en .NET llamado CapCutLoader, que luego obtiene y ejecuta una carga útil basada en Python (srchost.exe) desde un servidor remoto.
La carga útil: Noodlophile y más allá
La carga útil final es Noodlophile Stealer, un malware diseñado para extraer credenciales del navegador, datos de monederos de criptomonedas y otra información confidencial. En algunas variantes, el ladrón se implementa junto con un troyano de acceso remoto (RAT) como XWorm, lo que permite el control persistente del dispositivo de la víctima.
Autor de malware con rostro público
Los esfuerzos de atribución han rastreado el desarrollo de Noodlophile a un individuo que se cree reside en Vietnam. Este desarrollador, que se identifica en GitHub como un "apasionado desarrollador de malware de Vietnam", creó su perfil el 16 de marzo de 2025. Vietnam se ha convertido en un foco de actividad cibercriminal, en particular con malware ladrón que ataca plataformas como Facebook.
La IA como el nuevo cebo para el malware
Aprovechar la fascinación del público por la inteligencia artificial no es nuevo. En 2023, Meta informó haber eliminado más de 1000 URL maliciosas diseñadas para suplantar la identidad de ChatGPT de OpenAI. Estos enlaces se han utilizado para distribuir al menos 10 familias de malware diferentes desde marzo de 2023, lo que demuestra que las estafas con temática de IA siguen siendo una herramienta poderosa en el arsenal de los cibercriminales.
