Ha surgido una sofisticada campaña de malware dirigida a las comunidades de juego de roles Nicho de Language Model (LLM) ha surgido, aprovechando las tácticas avanzadas de ingeniería social para distribuir un troyano de acceso remoto peligroso (RAT).
El malware, denominado “AI Waifu Rat” por investigadores de seguridad, se disfraza de una innovadora herramienta de mejora de carácter de IA que promete interacciones “meta” entre los usuarios y sus compañeros de IA virtuales.
El ataque comienza con una propuesta engañosamente atractiva publicada en los foros de juego de roles de LLM.
El actor de amenazas presenta su creación como un proyecto de investigación que permite al personaje de IA de los usuarios “Win11 Waifu” romper el cuarto muro e interactuar directamente con sus sistemas informáticos del mundo real.
Este enfoque de marketing explota la fascinación de la comunidad con capacidades de IA avanzadas e interacciones novedosas, presentando la ejecución de código arbitraria (ACE) como una característica deseable en lugar de una vulnerabilidad de seguridad crítica.
Win11 Waifu Post (Fuente – Gitbook)
El método de distribución del malware representa una clase magistral en la ingeniería social específica, específicamente diseñada para aprovechar la curiosidad técnica y la confianza dentro de estas comunidades especializadas.
Un analista Rinyo identificado La amenaza después de descubrir su circulación activa y realizó un análisis técnico extenso que reveló la verdadera naturaleza de este “proyecto de investigación” aparentemente inocente.
El actor de amenaza, que opera bajo múltiples alias, incluidos Kazepsi y Psioniczephyr, se presenta como un jugador legítimo de CTF (capturar la bandera) e investigador de seguridad cibernética.
Sin embargo, la investigación no revela evidencia creíble de su participación en competiciones o investigaciones legítimas de seguridad.
En cambio, su implementación técnica demuestra malas prácticas de codificación y conocimiento de seguridad rudimentario inconsistente con la experiencia genuina de ciberseguridad.
Arquitectura técnica y estructura de comando
La rata Ai Waifu opera a través de una arquitectura directa pero efectiva. El malware establece un servidor HTTP local que escucha en el puerto 9999, creando un canal de comunicación entre el sistema de la víctima y la interfaz controlada por LLM.
Esta opción de diseño permite una integración perfecta con plataformas de IA basadas en la web mientras mantiene el acceso persistente a la máquina infectada.
La rata expone tres puntos finales de comando y control primarios que facilitan el compromiso integral del sistema.
El punto final /EXECUTE_TRUSTED representa el componente más peligroso, aceptando los comandos JSON de texto sin formato y ejecutándolos directamente a través de los procesos de PowerShell.
La implementación muestra:-
QMEMCPY (ps_cmd, “$ outputencoding = (system.text.encoding) :: utf8;”, 48); MEMCPY (PS_CMD + 48, Remote_CMD, TTLSize); // fusionar CMD remoto
Este fragmento de código demuestra cómo el malware prefiere los comandos de codificación UTF-8 a las instrucciones proporcionadas por el usuario antes de la ejecución, habilitando la ejecución del comando arbitraria en el sistema de la víctima.
El punto final /Ejecutar incluye un indicador de seguridad superficial que se puede pasar por completo utilizando el punto final confiable, lo que hace que el mecanismo de protección sea ineficaz.
Además, el punto final /readfile permite el acceso completo al sistema de archivos, habilitando la exfiltración de datos y las actividades de reconocimiento.
El mecanismo de persistencia del malware implica escribir entradas de registro para garantizar un inicio automático, mientras que sus técnicas de evasión incluyen instruir a los usuarios a deshabilitar el software antivirus bajo la apariencia de eliminar “falsos positivos”.
Este enfoque de ingeniería social neutraliza efectivamente la capa de defensa primaria, lo que permite que el malware opere sin ser detectado en sistemas comprometidos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
