Furiosos por ser desenmascarados, hackers inundaron antivirus con millones de insultos en vietnamita
Detectan nueva oleada de ciberataques contra usuarios de servicios de IA
Los creadores del programa malicioso Noodlophile, al parecer, reaccionaron de forma exacerbada a las publicaciones sobre su actividad. Tras el análisis detallado por parte de investigadores, los autores decidieron responder de una manera peculiar e intentaron al mismo tiempo vengarse y confundir a los sistemas de análisis automático.
Noodlophile se detectó por primera vez en mayo de 2025. Entonces se descubrió que el programa se ocultaba tras servicios falsos para crear vídeos mediante inteligencia artificial, que se promocionaban activamente en Facebook. Los atacantes inflaban artificialmente la popularidad de las páginas para generar confianza y luego ofrecían descargar archivos comprimidos con supuestas herramientas útiles. En su interior había un ladrón de datos que recopilaba cuentas, el contenido de carteras de criptomonedas y otra información, y luego la enviaba mediante bots en Telegram.
Más tarde, especialistas de Google Cloud informaron que actores vinculados a Vietnam, rastreados bajo el nombre UNC6229, cambiaron de táctica. En lugar de servicios falsos, empezaron a publicar ofertas de empleo falsas. Las víctimas son buscadores de empleo, estudiantes y especialistas en marketing digital. Bajo la apariencia de un formulario o de una tarea de prueba se pide a las personas que descarguen un archivo en el que se oculta un troyano de control remoto. El análisis de la nueva versión mostró un esquema de infección por etapas, la carga de librerías mediante sustitución de DLL y el uso de Telegram para el control, lo que vincula la campaña con el mismo entorno vietnamita que Noodlophile.
La respuesta de los autores a la publicidad resultó la más curiosa. En las muestras nuevas añadieron millones de repeticiones de una frase ofensiva en vietnamita, dirigida a la empresa Morphisec. Esta técnica no solo expresa irritación por los ataques frustrados, sino que también hincha el tamaño del archivo. Al mismo tiempo inutiliza herramientas de análisis que procesan el bytecode de Python con la biblioteca estándar dis, ya que por el volumen de datos dichas herramientas simplemente se bloquean.
A esos mismos atacantes se les atribuyen publicaciones en Facebook con consejos sobre el cifrado del código en Python para dificultar su análisis por sistemas automáticos. Parece que observan con atención cómo los estudian y tratan de cerrar los puntos vulnerables.
En las muestras recientes se detectaron otros cambios. Los desarrolladores emplearon el clásico algoritmo de hashing djb2 en el cargador de funciones, lo que permite determinar dinámicamente las direcciones de llamadas al sistema. El programa malicioso verifica su propia firma digital y deja de funcionar si detecta la intervención de herramientas de depuración o análisis. El archivo por lotes con el nombre descriptivo Chingchong.cmd ahora se cifra además con el algoritmo RC4. Varias cadenas en el código se ocultaron mediante una operación XOR para dificultar la búsqueda por firmas.
La historia muestra que los atacantes no solo distribuyen programas maliciosos, sino que también se adaptan activamente a las publicaciones sobre ellos. Quienes buscan empleo o prueban nuevos servicios basados en inteligencia artificial deben mantener la precaución y comprobar cuidadosamente las fuentes de los archivos. Y los especialistas en seguridad de la información tendrán que tener en cuenta las nuevas técnicas con las que los autores de Noodlophile intentan obstaculizar el análisis automático del código.