Incidentes Asociados
Ha salido a la luz una nueva campaña de ciberataques del grupo BlueNoroff, vinculado a Corea del Norte, dirigida a un empleado de la industria Web3 mediante llamadas deepfake de Zoom y malware para macOS. Investigadores de seguridad afirman que el incidente refleja la creciente sofisticación de las operaciones de phishing de los estados-nación.
Ejecutivos falsos en Zoom, malware real en Mac
Según una empresa de ciberseguridad, el ataque comenzó con un mensaje de Telegram solicitando programar una reunión. Una invitación de Calendly parecía legítima, pero redirigía a un sitio malicioso similar a Zoom, controlado por atacantes.
Semanas después, el empleado se unió a una reunión falsa de Zoom llena de deepfakes generados por IA de ejecutivos de su propia empresa. Cuando reportaron problemas de audio, los atacantes compartieron una supuesta "extensión de Zoom" a través de Telegram. Este archivo, en realidad un AppleScript malicioso, activó una cadena de malware oculto.
El script descargó otras cargas útiles de dominios falsos de Zoom, incluyendo una puerta trasera camuflada como una herramienta de soporte. Evitaba los registros de usuario, verificaba la capa de traducción Rosetta de Apple y solicitaba la contraseña del sistema para instalar malware adicional.
El arsenal de puertas traseras incluye un keylogger y un ladrón de criptomonedas
Huntress encontró ocho componentes únicos de malware en el Mac infectado:
- Un binario basado en Nim para ejecutar la puerta trasera
- Root Troy V4, un implante basado en Go que ejecuta AppleScripts y comandos
- InjectWithDyld, un cargador que instala más implantes y una aplicación Swift
- XScreen, un keylogger de Objective-C que también captura datos del portapapeles y la pantalla
- CryptoBot, que busca y exfiltra datos de monederos de criptomonedas
- NetChk, una aplicación señuelo que genera un sinfín de números aleatorios
Todo el tráfico se enrutaba a través de una infraestructura C2 que imitaba los dominios de Zoom.
BlueNoroff, también rastreado como APT38, TA444, y TraderTraitor forma parte del grupo norcoreano Lazarus y es conocido por sus ataques con fines financieros. Campañas anteriores incluyen el hackeo de Axie Infinity (2022) y la filtración de Bybit (2025).
Ofertas de trabajo falsas impulsan ataques multiplataforma
La campaña imita las tácticas utilizadas en las estafas "Entrevista Contagiosa" y "Entrevista ClickFake". En esos casos, los atacantes se hicieron pasar por reclutadores y engañaron a las víctimas para que ejecutaran scripts maliciosos con el pretexto de solucionar problemas de la cámara web o el micrófono.
Cisco Talos informó que las versiones más recientes utilizan una variante de Python de GolangGhost, ahora conocida como PylangGhost. Estos troyanos se dirigen a usuarios de Windows y macOS, recopilando credenciales y cookies de más de 80 extensiones de navegador y administradores de contraseñas. Se informó que las víctimas en India se encontraban entre los principales objetivos.
Sitios web falsos se hicieron pasar por importantes marcas de criptomonedas como Coinbase, Robinhood y Uniswap para engañar a los solicitantes de empleo y que ejecutaran malware como parte de una evaluación de contratación falsa.
Los investigadores de seguridad creen que el actor de amenazas Famous Chollima, posiblemente un grupo paraguas, está detrás de estos ataques.