El actor de amenazas vinculado a Corea del Norte conocido como UNC1069 se ha observado que el sector de las criptomonedas tiene como objetivo robar datos confidenciales de los sistemas Windows y macOS con el objetivo final de facilitar el robo financiero.
«La intrusión se basó en un plan de ingeniería social que involucraba una cuenta de Telegram comprometida, una reunión falsa de Zoom, un Haga clic en Fijar vector de infección y, según informes, el uso de vídeos generados por la IA para engañar a la víctima», dijeron Ross Inman y Adrian Hernandez, investigadores de Google Mandiant dijo .
UNC1069, juzgado activo al menos desde abril de 2018, tiene un historial de llevar a cabo campañas de ingeniería social para obtener beneficios económicos utilizando invitaciones a reuniones falsas y haciéndose pasar por inversores de empresas acreditadas en Telegram. También es rastreado por la comunidad de ciberseguridad en general con los nombres CryptoCore y MASAN .
En un informe publicado en noviembre pasado, Google Threat Intelligence Group (GTIG) señaló el uso por parte del actor de amenazas de herramientas de inteligencia artificial (IA) generativa, como Gemini, para producir material de atracción y otros mensajes relacionados con las criptomonedas como parte de sus esfuerzos por apoyar sus campañas de ingeniería social.
adsenseTambién se ha observado que el grupo intenta hacer un uso indebido de Gemmini para desarrollar código destinado a robar criptomonedas, así como aprovechar imágenes y vídeos falsos que imitan a personas de la industria de las criptomonedas en sus campañas para distribuir entre las víctimas un backdoor llamado BIGMACHO haciéndolo pasar por un kit de desarrollo de software (SDK) de Zoom.
«Al menos desde 2023, el grupo ha pasado de centrarse en las técnicas de spear-phising y las finanzas tradicionales (TradFi) a la industria Web3, como las bolsas centralizadas (CEX), los desarrolladores de software en instituciones financieras, las empresas de alta tecnología y los particulares en fondos de capital riesgo», afirma Google.
En la última intrusión documentada por la división de inteligencia de amenazas del gigante tecnológico, se dice que UNC1069 desplegó hasta siete familias de malware únicas, incluidas varias familias de malware nuevas, como SILENCELIFT, DEEPBREATH y CHROMEPUSH.
Todo comienza cuando el actor de la amenaza se acerca a la víctima a través de Telegram haciéndose pasar por capitalistas de riesgo y, en algunos casos, incluso utilizando cuentas comprometidas de emprendedores legítimos y fundadores de empresas emergentes. Una vez establecido el contacto, el autor de la amenaza utiliza Calendly para programar una reunión de 30 minutos con él.
El enlace de la reunión está diseñado para redirigir a la víctima a un sitio web falso que se hace pasar por Zoom («zoom.uswe05 [.] us»). En algunos casos, los enlaces de la reunión se comparten directamente a través de mensajes en Telegram y, a menudo, utilizan la función de hipervínculos de Telegram para ocultar las URL fraudulentas.
Independientemente del método utilizado, tan pronto como la víctima hace clic en el enlace, se le presenta una interfaz de videollamada falsa que refleja Zoom, instándola a activar su cámara e introducir su nombre. Una vez que el objetivo se une a la reunión, se le muestra una pantalla que se parece a una reunión real de Zoom.
Sin embargo, se sospecha que los vídeos son deepfakes o grabaciones reales capturadas sigilosamente de otras víctimas que anteriormente habían sido víctimas del mismo plan. Vale la pena señalar que Kaspersky está rastreando la misma campaña con el nombre Llamada fantasma , que se documentó en detalle en octubre de 2025.
«Las imágenes de sus cámaras web se grabaron sin saberlo, luego se subieron a una infraestructura controlada por los atacantes y se reutilizaron para engañar a otras víctimas, haciéndoles creer que estaban participando en una verdadera llamada en vivo», señaló en ese momento el proveedor de seguridad ruso. «Cuando terminó la reproducción del vídeo, la página pasó sin problemas a mostrar la imagen de perfil del usuario, manteniendo la ilusión de que se trataba de una llamada en directo».
El ataque pasa a la siguiente fase cuando se muestra a la víctima un mensaje de error falso sobre un supuesto problema de audio, tras lo cual se le pide que descargue y ejecute un comando de solución de problemas al estilo de ClickFix para solucionar el problema. En el caso de macOS, los comandos conducen a la entrega de un AppleScript que, a su vez, introduce en el sistema un binario Mach-O malintencionado.
enlacesDenominado WAVESHAPER, el ejecutable malicioso de C++ está diseñado para recopilar información del sistema y distribuir un descargador basado en Go con el nombre en código HYPERCALL, que luego se utiliza para servir cargas útiles adicionales -
- Un siguiente componente de puerta trasera de Golang conocido como HIDDENCALL, que proporciona acceso práctico mediante teclado al sistema comprometido e implementa un minero de datos basado en SWIFT llamado DEEPBREATH.
- Un segundo descargador de C++ llamado SUGARLOADER, que se usa para implementar CHROMEPUSH.
- Una puerta trasera C/C++ minimalista denominada SILENCELIFT, que envía la información del sistema a un servidor de comando y control (C2).
DEEPBREATH está equipado para manipular la transparencia, el consentimiento y el control de macOS ( TCC ) base de datos para acceder al sistema de archivos, lo que le permite robar las credenciales del llavero de iCloud y los datos de Google Chrome, Brave y Microsoft Edge, Telegram y la aplicación Apple Notes.
Al igual que DEEPBREATH, CHROMEPUSH también actúa como un ladrón de datos, solo que está escrito en C++ y se implementa como una extensión del navegador en los navegadores Google Chrome y Brave haciéndose pasar por una herramienta para editar Google Docs sin conexión. También permite registrar las pulsaciones de teclas, observar las entradas de nombre de usuario y contraseña y extraer las cookies del navegador.
«El volumen de herramientas desplegadas en un solo host indica un esfuerzo muy decidido para recopilar credenciales, datos de navegador y tokens de sesión para facilitar el robo financiero», dijo Mandiant. «Si bien la UNC1069 suele dirigirse a empresas emergentes, desarrolladores de software y empresas de capital riesgo relacionadas con las criptomonedas, el despliegue de varias familias nuevas de malware junto con el conocido programa de descarga SUGARLOADER supone una expansión significativa de sus capacidades».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS