Hackers despliegan 7 familias de malware con deepfakes de IA
Según un informe de la división Mandiant de Google Cloud, actores de amenazas vinculados a Corea del Norte están desplegando una sofisticada nueva ola de ataques contra los sectores de las criptomonedas y la tecnología financiera. Se ha observado que un grupo rastreado como UNC1069 utiliza siete familias de malware distintas, incluyendo herramientas recién descubiertas llamadas SILENCELIFT, DEEPBREATH y CHROMEPUSH, específicamente diseñadas para capturar y exfiltrar datos de las víctimas.
Esta campaña marca una evolución significativa en las tácticas, incorporando inteligencia artificial para mejorar su efectividad. Mandiant informa que el grupo comenzó a utilizar "cebos habilitados por IA" en operaciones activas en noviembre de 2025, lo que les permite escalar sus esfuerzos de ingeniería social. Los objetivos principales incluyen empresas de criptomonedas, inversores de capital de riesgo y desarrolladores de software.
La ingeniería social aprovecha reuniones falsas de Zoom
Los métodos de los atacantes se basan en elaborados esquemas de ingeniería social. En una intrusión detallada, los operativos utilizaron una cuenta de Telegram comprometida perteneciente a un fundador de criptomonedas para establecer contacto con un objetivo. Luego, la víctima fue invitada a una reunión de Zoom donde el atacante, utilizando un video deepfake, fingió problemas de audio para crear un pretexto para el ataque.
Esta táctica, denominada ataque "ClickFix", implica engañar a la víctima para que ejecute lo que parecen ser comandos de resolución de problemas para solucionar el problema de audio inexistente. Según Mandiant, estos comandos contienen un script oculto que inicia la cadena de infección del malware, otorgando a los atacantes acceso al sistema anfitrión y sus datos.
Corea del Norte vinculada a robos pasados de criptomonedas por 1.400 millones de dólares
Estas actividades recientes son parte de un patrón de ciberdelincuencia de larga data atribuido a grupos patrocinados por el estado norcoreano. Estos actores representan una amenaza persistente y costosa para la industria de activos digitales. El notorio Grupo Lazarus, otra entidad con lazos con Corea del Norte, fue previamente vinculado al hackeo de 1.400 millones de dólares del intercambio Bybit, uno de los mayores robos de criptomonedas registrados.
Otros incidentes documentados refuerzan la gravedad de la amenaza. En junio de 2025, cuatro operativos norcoreanos que se habían infiltrado en múltiples startups de criptomonedas como desarrolladores independientes fueron encontrados robando un total acumulado de 900.000 dólares de las empresas. Estos eventos subrayan el peligro constante y evolutivo que representan estos grupos para la seguridad y estabilidad del ecosistema Web3.
