En la era digital actual, la inteligencia artificial (IA) ha capturado la atención global por sus capacidades revolucionarias en la automatización y creación de contenidos. Sin embargo, este interés legítimo ha sido explotado por actores maliciosos que, utilizando herramientas falsas de IA, se han infiltrado en la vida virtual de más de 62,000 usuarios a través de cebos en Facebook. Estos ciberdelincuentes están distribuyendo un malware conocido como Noodlophile, diseñado para robar información crítica y comprometer la seguridad de las víctimas. El modus operandi de los atacantes se centra en la creación de plataformas falsificadas con apariencia profesional que prometen servicios avanzados de creación de contenido, como edición de videos, imágenes y logos basados en IA. A diferencia de métodos tradicionales como el phishing clásico o el uso de sitios de software crackeado, estas plataformas emplean un enfoque mucho más sofisticado que aprovecha la confianza de los usuarios en la tecnología emergente.
Investigadores de seguridad, como Shmuel Uzan de Morphisec, han detectado cómo estas campañas maliciosas utilizan grupos legítimos de Facebook y campañas virales en redes sociales para atraer a usuarios interesados en herramientas de IA para edición y creación de contenido multimedia. Algunos de los nombres detectados en estas páginas falsas incluyen Luma Dreammachine AI, Luma Dreammachine y gratistuslibros, todos ellos con publicaciones que llegan a obtener decenas de miles de visualizaciones, lo que indica un alcance considerable. El proceso de infección se inicia cuando los usuarios, atraídos por la promesa de servicios de edición y creación basados en IA, hacen clic en enlaces que dirigen a sitios web fraudulentos como el supuestamente denominado CapCut AI. Este sitio web ofrece, supuestamente, un editor de video todo en uno con funciones innovadoras de IA, un gancho muy atractivo para usuarios que buscan mejorar su contenido digital rápidamente. Sin embargo, una vez que los usuarios suben sus imágenes o videos para ser procesados, se les solicita descargar el contenido generado, lo que en realidad descarga un archivo ZIP malicioso titulado "VideoDreamAI.
zip". Dentro de este archivo se encuentra un ejecutable disfrazado con un nombre que simula ser un archivo multimedia, "Video Dream MachineAI.mp4.exe". Este archivo inicia una secuencia maliciosa que aprovecha un componente legítimo relacionado con el editor de video CapCut, llamado "CapCut.
exe". Este ejecutable en C++ actúa como un cargador para un componente en .NET llamado CapCutLoader, que finalmente descarga y ejecuta un payload en Python denominado "srchost.exe". Este archivo malicioso es el que implanta el malware Noodlophile en el sistema comprometido.
Noodlophile es un software de robo de información con capacidades para extraer credenciales de navegadores, información de billeteras de criptomonedas y otros datos sensibles que pueden ser utilizados para fraudes o accesos no autorizados. En algunos casos, se ha detectado que el malware Noodlophile viene acompañado de un troyano de acceso remoto (RAT) conocido como XWorm. Esta combinación permite no solo robar información sino también mantener un acceso persistente y profundo en el sistema infectado, abriendo la puerta a un compromiso continuo y un alto riesgo para la privacidad y seguridad del usuario. El desarrollo de Noodlophile se atribuye a un actor cibernético de origen vietnamita, quien ha manifestado su perfil público en GitHub como desarrollador apasionado de malware desde marzo de 2025. Vietnam es reconocido por ser un foco importante en el ecosistema del cibercrimen del sudeste asiático, con un historial documentado en la creación y distribución de malware especializado en robos de información, particularmente con foco en plataformas como Facebook.
Este fenómeno de utilización de temas relacionados con la inteligencia artificial para atraer víctimas es una tendencia creciente. Durante 2023, Meta identificó y eliminó más de mil URLs maliciosas que explotaban la popularidad de ChatGPT y otras tecnologías de OpenAI para propagar hasta diez familias diferentes de malware. En paralelo, otras amenazas como PupkinStealer han sido identificadas, representando familias de malware más sencillas pero igual de efectivas. PupkinStealer, basado en .NET, roba una amplia variedad de datos y los exfiltra a través de un bot de Telegram controlado por los atacantes.
Su mecanismo se basa en la baja detección mediante sus operaciones discretas, sin mecanismos complejos de evasión ni persistencia, lo que evidencia la diversidad en las tácticas empleadas para el cibercrimen. Esta problemática refuerza la necesidad de tomarse en serio la seguridad digital, especialmente al evaluar servicios y herramientas ofrecidas en redes sociales y plataformas digitales. Los cibercriminales están constantemente innovando sus técnicas para camuflar sus verdaderas intenciones bajo la apariencia de soluciones tecnológicas útiles y confiables. Para los usuarios, la recomendación es clara: siempre validar la autenticidad de las plataformas y servicios que se ofrecen en línea, especialmente aquellos relacionados con tecnología emergente como la inteligencia artificial. Es importante evitar descargar archivos de fuentes no verificadas y estar alerta ante señales inusuales como archivos ejecutables con nombres engañosos o surgidos en contextos poco confiables.
