Investigadores de ciberseguridad han revelado detalles de un nuevo Cargador inteligente campaña que implica la distribución de una versión troyanizada de un servidor Model Context Protocol (MCP) asociado con Oura Health para entregar un ladrón de información conocido como StealC.
«Los actores de amenazas clonaron un servidor Oura MCP legítimo, una herramienta que conecta a los asistentes de IA con los datos de salud de Oura Ring, y construyeron una infraestructura engañosa de bifurcaciones y contribuyentes falsos para generar credibilidad», dijo el equipo de Straiker’s AI Research (STAR) Labs en un informe compartido con The Hacker News.
El objetivo final es aprovechar la versión troyanizada del servidor Oura MCP para entregar el ladrón de información StealC, permitiendo a los actores de amenazas robar credenciales, contraseñas del navegador y datos de carteras de criptomonedas.
SmartLoader, destacado por primera vez por OALABS Research a principios de 2024, es un cargador de malware que se sabe que se distribuye a través de repositorios falsos de GitHub que contienen señuelos generados por inteligencia artificial (IA) para dar la impresión de que son legítimos.
En un análisis publicado en marzo de 2025, Trend Micro reveló que estos repositorios están disfrazados de trucos de juegos, software descifrado y utilidades de criptomonedas, y generalmente persuaden a las víctimas con promesas de funcionalidades gratuitas o no autorizadas para hacerles descargar archivos ZIP que implementan SmartLoader.
Los últimos hallazgos de Straiker destacan un nuevo giro de la IA: los actores de amenazas crean una red de cuentas y repositorios falsos de GitHub para servir servidores MCP troyanizados y enviarlos a registros MCP legítimos como MCP Market. El servidor MCP todavía aparece en el directorio MCP.
Al envenenar los registros de MCP y convertir en armas plataformas como GitHub, la idea es aprovechar la confianza y la reputación asociadas con los servicios para atraer a usuarios desprevenidos a descargar malware.
«A diferencia de las campañas de malware oportunistas que priorizan la velocidad y el volumen, SmartLoader invirtió meses en ganar credibilidad antes de implementar su carga útil», dijo la compañía. «Este enfoque paciente y metódico demuestra la comprensión del actor de amenazas de que la confianza de los desarrolladores requiere tiempo para fabricar, y su voluntad de invertir ese tiempo para acceder a objetivos de alto valor».
El ataque se desarrolló esencialmente en cuatro etapas:
- Creé al menos 5 cuentas falsas de GitHub (YuzeHao2023, punkpeye, dvlan26, halamji y yzhao112) para crear una colección de bifurcaciones de repositorio aparentemente legítimas del servidor Oura MCP.
- Creó otro repositorio del servidor Oura MCP con la carga maliciosa en una nueva cuenta «SiddhiBagul»
- Se agregaron las cuentas falsas recién creadas como «colaboradores» para dar una apariencia de credibilidad, al tiempo que se excluyó deliberadamente al autor original de las listas de colaboradores.
- Envió el servidor troyanizado al MCP Market
Esto también significa que los usuarios que terminen buscando el servidor Oura MCP en el registro terminarán encontrando el servidor fraudulento entre otras alternativas benignas. Una vez iniciado a través de un archivo ZIP, resulta en la ejecución de un script Lua ofuscado que es responsable de eliminar SmartLoader, que luego procede a implementar StealC.
La evolución de la campaña SmartLoader indica un cambio de atacar a los usuarios que buscan software pirateado a los desarrolladores, cuyos sistemas se han convertido en objetivos de alto valor, dado que tienden a contener datos confidenciales como claves API, credenciales en la nube, billeteras de criptomonedas y acceso a sistemas de producción. Luego se podría abusar de los datos robados para alimentar intrusiones posteriores.
Como mitigación para combatir la amenaza, se recomienda a las organizaciones hacer un inventario de los servidores MCP instalados, establecer una revisión de seguridad formal antes de la instalación, verificar el origen de los servidores MCP y monitorear el tráfico de salida sospechoso y los mecanismos de persistencia.
«Esta campaña expone debilidades fundamentales en la forma en que las organizaciones evalúan las herramientas de IA», dijo Straiker. «El éxito de SmartLoader depende de que los equipos de seguridad y los desarrolladores apliquen heurísticas de confianza obsoletas a una nueva superficie de ataque».