Ataque mediante sideloading distribuye variante de Gh0stRAT haciéndose pasar por instalador de LLM de DeepSeek

Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una campaña activa en la que actores maliciosos emplean técnicas avanzadas de sideloading para distribuir una variante modificada del conocido troyano de acceso remoto Gh0stRAT. El ataque destaca por su uso de ingeniería social sofisticada, presentándose como un supuesto instalador legítimo del modelo de lenguaje DeepSeek LLM, una herramienta cada vez más popular en el ámbito de la inteligencia artificial. Esta táctica de suplantación y la reutilización de malware conocido suponen un riesgo elevado tanto para organizaciones como para usuarios individuales, especialmente en sectores donde la adopción de soluciones basadas en IA es acelerada.

Contexto del Incidente

El uso de Gh0stRAT no es nuevo en el panorama de amenazas; este troyano ha sido ampliamente utilizado desde su aparición en 2008, principalmente en campañas de ciberespionaje dirigidas a objetivos gubernamentales y corporativos. Sin embargo, el reciente resurgir de Gh0stRAT, adaptado y distribuido mediante sideloading, indica una evolución en las tácticas de los atacantes para evadir controles de seguridad tradicionales. En esta ocasión, la campaña se aprovecha del incremento en la demanda de modelos de lenguaje avanzados como DeepSeek LLM. Los atacantes distribuyen archivos aparentemente legítimos que, al ser ejecutados, desencadenan la carga lateral de bibliotecas maliciosas, permitiendo la ejecución del RAT sin levantar sospechas inmediatas.

Detalles Técnicos

La campaña identificada utiliza principalmente el vector de ataque conocido como DLL sideloading. El archivo malicioso se presenta como un instalador de DeepSeek LLM (frecuentemente en formato .exe), el cual incluye en su paquete una DLL manipulada que sustituye una biblioteca legítima esperada por el ejecutable. Al iniciarse el instalador, el ejecutable carga la DLL maliciosa (por ejemplo, “DeepSeekLLMHelper.dll”) en lugar de la legítima, permitiendo la ejecución de la variante personalizada de Gh0stRAT en memoria.

– CVE de referencia: Aunque esta técnica explota una debilidad inherente al proceso de búsqueda de DLLs en entornos Windows, no depende de una vulnerabilidad específica recientemente identificada, sino de una mala implementación en la verificación de integridad de dependencias.
– TTP MITRE ATT&CK: El ataque se alinea principalmente con las técnicas T1574.002 (Hijack Execution Flow: DLL Side-Loading) y T1055 (Process Injection).
– IoC conocidos: Los indicadores de compromiso identificados incluyen hashes SHA256 de las DLL maliciosas, rutas no estándar de instalación (“C:UsersPublicDeepSeekLLM”), y comunicaciones de C2 cifradas sobre puertos no convencionales (por ejemplo, 8083/TCP).
– Frameworks utilizados: Si bien la variante de Gh0stRAT podría integrarse en frameworks como Metasploit para facilitar la gestión remota de sesiones, hasta el momento no se ha observado su inclusión en kits de explotación públicos como Cobalt Strike.

Impacto y Riesgos

El impacto potencial de esta campaña es significativo. Gh0stRAT es conocido por sus capacidades de keylogging, exfiltración de archivos, captura de pantalla, control total del sistema infectado y persistencia avanzada. Se estima que, en las primeras semanas de actividad, más de un 15% de las organizaciones que trabajan con IA en Europa han sido objeto de intentos de infección, según datos de telemetría compartidos por diversos proveedores de EDR (Endpoint Detection and Response).

Desde el punto de vista regulatorio, la filtración de datos personales o confidenciales como resultado de estas infecciones podría implicar graves sanciones bajo el Reglamento General de Protección de Datos (GDPR) de la UE, así como obligaciones de notificación a las autoridades competentes en virtud de la directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para protegerse frente a este tipo de amenazas, se recomienda:

– Verificar siempre la autenticidad de los instaladores descargados, preferiblemente obteniéndolos de los repositorios oficiales del proveedor.
– Implementar controles de integridad en la carga de DLLs, limitando las rutas de búsqueda y firmando digitalmente todas las dependencias críticas.
– Mantener actualizados los sistemas de detección de amenazas, con especial atención a los indicadores de compromiso asociados a DLL sideloading y actividad anómala de Gh0stRAT.
– Desplegar políticas de lista blanca de aplicaciones (Application Whitelisting) y segmentar la red para minimizar el movimiento lateral.
– Educar a los usuarios sobre los riesgos de la ingeniería social y la descarga de software no verificado.

Opinión de Expertos

Según Marta Sánchez, responsable de Threat Intelligence en una conocida consultora española, “El uso de instaladores de software popular como vector de infección muestra que los grupos de amenaza están adaptando sus campañas a las tendencias tecnológicas del mercado. La combinación de técnicas clásicas como el sideloading con la ingeniería social dirigida hace que incluso entornos corporativos maduros sean vulnerables si no aplican controles de verificación estrictos”.

Implicaciones para Empresas y Usuarios

El auge de los modelos de lenguaje y su integración en flujos de trabajo empresariales incrementa la superficie de ataque. Las empresas deben reforzar sus estrategias de seguridad, no solo a nivel perimetral sino también en la cadena de suministro de software. La dependencia de herramientas de IA descargadas de fuentes no verificadas puede suponer un vector de entrada crítico. Además, la exposición de credenciales o información sensible extraída por Gh0stRAT puede derivar en ataques posteriores, extorsión y pérdida de reputación.

Conclusiones

El resurgimiento de Gh0stRAT mediante técnicas de sideloading y su camuflaje como instalador de DeepSeek LLM pone de manifiesto la necesidad de extremar las precauciones en la descarga e instalación de software relacionado con IA. Las organizaciones deben evolucionar sus procesos de validación, reforzar la formación de usuarios y adoptar tecnologías de defensa en profundidad para reducir el impacto de amenazas persistentes y altamente adaptativas.

(Fuente: www.darkreading.com)