Google Cloud alerta sobre nueva campaña de malware norcoreano que usa IA para atacar empresas de cripto

In, , ,
Ayudanos a compartir esta información
Únete a nuestro Canal de Telegram

Google Cloud alerta sobre nueva campaña de malware norcoreano que usa IA para atacar empresas de cripto

La división de ciberseguridad de Google Cloud, Mandiant, ha expuesto una campaña de amenazas avanzada vinculada a Corea del Norte que está atacando activamente a empresas de criptomonedas y fintech. La operación, a cargo del grupo UNC1069, utiliza ingeniería social potenciada por inteligencia artificial, incluyendo videos deepfake en reuniones de Zoom, para desplegar un arsenal de siete familias de malware diseñadas para robar datos y activos digitales.

La Amenaza y los Actores

Presentación del grupo de amenazas UNC1069

El grupo de amenazas, rastreado como UNC1069, mantiene vínculos sospechosos con Corea del Norte y ha sido monitorizado por los analistas de Mandiant desde 2018. La campaña actual, detallada en un informe publicado un martes, representa una escalada y una expansión significativa de sus operaciones previas, incorporando nuevas tácticas y herramientas maliciosas.

Objetivos principales de la campaña

El foco de los ataques se centra en empresas globales del sector de las criptomonedas, desarrolladores de software y firmas de capital de riesgo. Este enfoque se enmarca en un historial documentado de operativos norcoreanos que apuntan a la industria cripto. Por ejemplo, en junio de 2025, agentes norcoreanos lograron infiltrarse como desarrolladores para robar aproximadamente 900.000 dólares. Ese mismo año, el grupo Lazarus, también vinculado a Corea del Norte, fue señalado como responsable del hackeo que sustrajo 1.400 millones de dólares del exchange de criptomonedas Bybit.

La Ingeniería Social y el Uso de IA

Tácticas de entrada: Compromiso de cuentas de Telegram

La campaña inicia con una fase de ingeniería social donde los atacantes establecen contacto con sus objetivos utilizando cuentas de Telegram previamente comprometidas. Estas cuentas suelen pertenecer a fundadores de proyectos criptográficos legítimos, una táctica diseñada para generar confianza y legitimidad ante la víctima.

La innovación: Deepfakes en reuniones de Zoom

Una vez establecido el contacto, los atacantes invitan a las víctimas a reuniones de Zoom. En estas sesiones, el operativo aparece mediante un video deepfake generado por inteligencia artificial, simulando problemas técnicos como fallos de audio. Según un informe previo del Google Threat Intelligence Group, noviembre de 2025 marcó la primera vez que este actor incorporó “señuelos habilitados por IA” en sus operaciones.

El ataque “ClickFix”

Durante la reunión falsa, el atacante finge tener problemas de audio y dirige a la víctima a ejecutar comandos de “solución de problemas” en su sistema operativo. Esta técnica, denominada “ClickFix”, es en realidad una estafa: los comandos proporcionados contienen instrucciones ocultas que inician silenciosamente la cadena de infección del malware en el equipo de la víctima.

El Arsenal de Malware: SILENCELIFT, DEEPBREATH y CHROMEPUSH

Siete familias de malware desplegadas

La investigación de Mandiant reveló que la intrusión resultó en el despliegue de siete familias de malware únicas. Como se cita en el informe:

“esta investigación reveló una intrusión personalizada que resultó en el despliegue de siete familias de malware únicas…”

Estas herramientas están diseñadas para capturar y exfiltrar datos sensibles de los sistemas comprometidos.

Nuevas y sofisticadas variantes

Entre el arsenal utilizado, Mandiant identificó nuevas y sofisticadas herramientas. CHROMEPUSH y DEEPBREATH son descritas como virus mineros de datos recién descubiertos, diseñados para evadir componentes clave del sistema operativo y acceder a información personal. Otra herramienta nueva mencionada es SILENCELIFT, diseñada para capturar datos tanto del sistema host como de la víctima. Estas herramientas forman parte del conjunto malicioso empleado en la campaña.

Contexto y Respuesta de la Industria

Un patrón persistente de amenaza

Los hallazgos de Mandiant subrayan un patrón persistente: los actores de amenazas norcoreanos continúan siendo una amenaza constante y sofisticada para el ecosistema de las criptomonedas y la Web3. Los incidentes de 2025, que van desde la infiltración de desarrolladores hasta el masivo hackeo a Bybit, ilustran la escala, los recursos y la determinación de estos grupos.

Transparencia y llamado a la acción

En un intento por obtener más detalles sobre la atribución específica a Corea del Norte, Cointelegraph contactó a Mandiant para solicitar comentarios. Al cierre de esta publicación, la firma de ciberseguridad no había respondido a la solicitud. El informe sirve como una advertencia tácita para las empresas del sector, destacando la necesidad crítica de extremar la vigilancia en las comunicaciones por plataformas como Telegram y Zoom, y de implementar rigurosos protocolos de verificación de identidad, especialmente durante interacciones que involucren solicitudes técnicas o la ejecución de comandos.

Click to rate this post!
[Total: 0 Average: 0]
Previous PostNext Post

Related Posts

Anthropic Acusa a Tres Gigantes Chinos de IA de Ataques Masivos de “Destilación” Contra Claude

EE.UU. Incauta $61 Millones en USDT Vinculados a Estafa Cripto ‘Pig Butchering’

OKX integra tecnología de Chainalysis para bloquear retiros a estafas en tiempo real

Ransomware 2025: Ataques aumentan 50% pero pagos caen 8%, según Chainalysis

Policía de Corea del Sur pierde $1.4 millones en Bitcoin incautado tras múltiples fallas de protocolo

TeraWulf Inc. (WULF) Reporta Pérdidas en Q4 2025 Tras Caída de Ingresos Mineros, pero Apuesta Fuerte a la Expansión en IA para 2026

XRPL Foundation Parchea Vulnerabilidad Crítica Detectada por IA que Puso en Riesgo Potencial 80.000 M de Dólares

CryptoVibe.news Noticias Personas y Personalidades

Marathon Digital Reporta Pérdida Trimestral de $1.710 Millones por Caída del Bitcoin

Uniswap Alerta sobre Estafas con Anuncios Falsos Tras Robo de Seis Cifras, en Medio de un Pico de Pérdidas en 2026

MARA, minero de Bitcoin, adquiere el control de Exaion para impulsar su estrategia en IA y centros de datos

Translate »
X
Bienvenido a CryptoVibe