La campaña LLMShare: cómo los enlaces compartidos de ChatGPT se convirtieron en una red de distribución de malware

La innovación real aquí no es el malware en sí, sino el método de distribución. Al alojar la página de phishing inicial en una URL legítima de chatgpt.com, los atacantes evitan tanto la sospecha humana como los filtros de reputación de URL automatizados. Un usuario que revisa la barra de direcciones ve chatgpt.com y el familiar icono del candado, lo que crea un poderoso efecto de confianza por delegación que hace que la posterior redirección al dominio malicioso sea mucho más efectiva .

Esta campaña es parte de un problema mucho mayor

La campaña LLMShare no surgió de forma aislada. Es la última escalada en un patrón que los investigadores de seguridad han estado rastreando desde finales de 2025, cuando los atacantes descubrieron por primera vez que podían abusar de las funciones de compartir de las plataformas de IA como vectores de infección.

En diciembre de 2025, investigadores de Kaspersky descubrieron una campaña que utilizaba la función de compartir de ChatGPT para distribuir el 'infostealer' AMOS a usuarios de macOS. Los atacantes creaban guías de instalación de aspecto profesional para un falso "navegador Atlas" y las publicaban como conversaciones públicas de ChatGPT. Los usuarios desprevenidos que seguían las guías terminaban ejecutando comandos de terminal que instalaban el malware . A principios de 2026, técnicas similares se habían extendido a otras plataformas de IA como DeepSeek, con atacantes apuntando a usuarios que buscaban temas cotidianos como "cómo liberar espacio en disco en una Mac" .

Esta tendencia va mucho más allá del abuso de chats compartidos. Investigadores de seguridad documentaron las primeras familias de malware reales que utilizaban la infraestructura comercial de chatbots de IA como canal primario de comando y control entre julio de 2025 y febrero de 2026 . Al menos 16 extensiones maliciosas para Chrome que se hacían pasar por herramientas de productividad para ChatGPT fueron descubiertas robando tokens de inicio de sesión en lugar de ofrecer las funcionalidades prometidas . El Grupo de Inteligencia de Amenazas de Google (GTIG, por sus siglas en inglés) identificó familias de malware como PROMPTFLUX y PROMPTSTEAL que usan modelos de lenguaje de gran tamaño para alterar dinámicamente su comportamiento durante la ejecución —lo que Google llama 'IA justo a tiempo en malware' .

Incluso actores vinculados a estados están involucrados. OpenAI reveló que interrumpió operaciones coordinadas de grupos de Rusia, Corea del Norte y China que intentaban usar la asistencia de ChatGPT para el desarrollo de malware, campañas de phishing y operaciones de influencia . El Informe de Caza de Amenazas 2025 de CrowdStrike señaló que los adversarios están "armando la IA a escala" para acelerar ataques, robar credenciales y desplegar malware .

Las familias de malware detrás del ataque

Para los usuarios de Windows atrapados en la campaña LLMShare, la carga útil es un ladrón de credenciales convencional diseñado para extraer contraseñas, 'cookies' y tokens de autenticación almacenados en el navegador. Para los usuarios de macOS, la amenaza es más compleja.

Odyssey Stealer representa una rama evolutiva de los ladrones de información para macOS con un linaje enmarañado. Se originó como Poseidon Stealer —una bifurcación de Atomic Stealer (AMOS) que fue prominente durante 2024 y principios de 2025— y más tarde fue renombrado y mejorado por un actor de amenazas conocido como 'Rodrigo' o 'Rodrigo4', quien trabajó previamente en el código base de AMOS . El cambio de nombre vino con mejoras técnicas significativas destinadas a eludir las defensas de seguridad de Apple, incluyendo cargas útiles de AppleScript ofuscadas y mecanismos de persistencia que permiten que el malware sobreviva a los reinicios del sistema .

Como plataforma de Malware como Servicio, Odyssey opera con un modelo de afiliados donde los desarrolladores principales mantienen el malware y la infraestructura de comando y control, mientras que operadores independientes alquilan el acceso a cambio de una parte de las ganancias . El malware se dirige específicamente a una amplia gama de software de criptomonedas: investigadores de Censys identificaron que apunta a 203 extensiones de monedero de navegador, junto con aplicaciones de escritorio de criptomonedas .

Los datos de detección de amenazas de Red Canary muestran que Atomic Stealer siguió siendo el ladrón para macOS más popular a lo largo de 2025, y Odyssey Stealer alcanzó una prevalencia similar después de su cambio de marca y relanzamiento desde Poseidon . Ambas familias se clasifican consistentemente entre las principales amenazas dirigidas a usuarios de Apple .

Por qué defenderse de estos ataques es tan difícil

El enfoque de 'confianza por delegación' que impulsa LLMShare representa un desafío fundamental para las defensas de seguridad tradicionales. La página de inicio inicial está alojada en un dominio de OpenAI que es legítimo y ampliamente confiable. Los sistemas de filtrado de URL que se basan únicamente en la reputación del dominio verán chatgpt.com y permitirán la conexión. Incluso las herramientas más sofisticadas que inspeccionan el contenido de la página pueden ver lo que parece ser un aviso de servicio con la marca OpenAI y no marcarlo como sospechoso .

El ataque no utiliza 'phishing' por correo electrónico, archivos adjuntos maliciosos o ingeniería social obvia: se basa completamente en la plataforma de anuncios de Google para entregar a las víctimas lo que parece ser una página oficial de OpenAI. Para cuando ocurre la redirección maliciosa, el usuario ya está operando desde una posición de confianza en el dominio que está visitando. Investigadores de Huntress que estudiaron campañas similares señalaron que estos ataques tienen éxito con solo cuatro acciones cotidianas del usuario: buscar, hacer clic, copiar y pegar .

Para los equipos de seguridad, la defensa requiere un enfoque por capas. Monitorear los anuncios de Google sospechosos que suplantan servicios populares, bloquear los dominios de redirección maliciosos conocidos como openew[.]app y —lo más importante— capacitar a los usuarios para que verifiquen el contenido real de las conversaciones compartidas de ChatGPT en lugar de confiar solo en el dominio, son contramedidas críticas . Los propios proveedores de plataformas se enfrentan a la presión de implementar barreras de seguridad que eviten el abuso de las funciones de uso compartido sin afectar los casos de uso legítimos .

La campaña LLMShare representa un punto de inflexión en las tácticas de 'phishing'. Al convertir en un arma la confianza que los usuarios depositan en las principales plataformas de IA, los atacantes han encontrado un mecanismo de distribución que es más efectivo que los correos de phishing tradicionales y más difícil de detectar para las defensas convencionales. A medida que las plataformas de IA se expandan y sus funciones para compartir se vuelvan más sofisticadas, la superficie de ataque no hará más que crecer.