Introducción
Los hackers vinculados a Corea del Norte continúan utilizando llamadas de video en vivo, incluyendo deepfakes generados por inteligencia artificial, para engañar a desarrolladores y trabajadores de criptomonedas, induciéndolos a instalar software malicioso en sus propios dispositivos.
Caso Reciente
En un caso reciente revelado por el cofundador de BTC Prague, Martin Kuchař, los atacantes emplearon una cuenta de Telegram comprometida y una llamada de video simulada para propagar malware disfrazado como una solución de audio para Zoom. Kuchař indicó que esta «campaña de hacking de alto nivel» parece estar «dirigida a usuarios de Bitcoin y criptomonedas».
Técnica de Ataque
Los atacantes contactan a la víctima y organizan una llamada a través de Zoom o Teams. Durante la llamada, utilizan un video generado por IA para hacerse pasar por alguien que la víctima conoce. Luego, afirman que hay un problema de audio y piden a la víctima que instale un complemento o archivo para solucionarlo. Una vez instalado, el malware otorga a los atacantes acceso completo al sistema, lo que les permite robar Bitcoin, apoderarse de cuentas de Telegram y utilizar esas cuentas para atacar a otros.
Impacto de las Estafas
Esto ocurre en un momento en que las estafas de suplantación impulsadas por IA han llevado las pérdidas relacionadas con criptomonedas a un récord de 17 mil millones de dólares en 2025, con atacantes que utilizan cada vez más video deepfake, clonación de voz e identidades falsas para engañar a las víctimas y acceder a fondos, según datos de la firma de análisis de blockchain Chainalysis.
Investigaciones y Conclusiones
El ataque, tal como lo describió Kuchař, coincide estrechamente con una técnica documentada por primera vez por la empresa de ciberseguridad Huntress, que informó en julio del año pasado que estos atacantes atraen a un trabajador de criptomonedas objetivo a una llamada de Zoom simulada después de un contacto inicial en Telegram, a menudo utilizando un enlace de reunión falso alojado en un dominio de Zoom suplantado.
Durante la llamada, los atacantes afirman que hay un problema de audio e instruyen a la víctima a instalar lo que parece ser una solución relacionada con Zoom, que en realidad es un AppleScript malicioso que inicia una infección en múltiples etapas de macOS, según Huntress. Una vez ejecutado, el script desactiva el historial de shell, verifica o instala Rosetta 2 (una capa de traducción) en dispositivos Apple Silicon, y solicita repetidamente al usuario su contraseña del sistema para obtener privilegios elevados.
El estudio encontró que la cadena de malware instala múltiples cargas útiles, incluyendo puertas traseras persistentes, herramientas de registro de teclas y portapapeles, y robadores de billeteras de criptomonedas, una secuencia similar a la que Kuchař señaló cuando reveló que su cuenta de Telegram había sido comprometida y luego utilizada para atacar a otros de la misma manera.
Conclusiones de Expertos
Los investigadores de seguridad de Huntress han atribuido la intrusión con alta confianza a una amenaza persistente avanzada vinculada a Corea del Norte, rastreada como TA444, también conocida como BlueNoroff y por varios otros alias que operan bajo el término paraguas Grupo Lazarus, un grupo patrocinado por el estado enfocado en el robo de criptomonedas desde al menos 2017.
Cuando se le preguntó sobre los objetivos operacionales de estas campañas, Shān Zhang, director de seguridad de la información de la firma de seguridad blockchain Slowmist, dijo a Decrypt que el último ataque a Kuchař está «posiblemente» conectado a campañas más amplias del Grupo Lazarus.
«Hay una clara reutilización a través de las campañas. Vemos consistentemente el objetivo de billeteras específicas y el uso de scripts de instalación muy similares»
, comentó David Liberman, co-creador de la red de computación descentralizada de IA Gonka, a Decrypt.
Las imágenes y videos «ya no pueden ser tratados como prueba confiable de autenticidad», dijo Liberman, añadiendo que el contenido digital «debería estar firmado criptográficamente por su creador, y tales firmas deberían requerir autorización multifactorial». Las narrativas, en contextos como este, se han convertido en «una señal importante para rastrear y detectar» dado cómo estos ataques «dependen de patrones sociales familiares», agregó.
El Grupo Lazarus de Corea del Norte está vinculado a campañas contra empresas de criptomonedas, trabajadores y desarrolladores, utilizando malware a medida y una ingeniería social sofisticada para robar activos digitales y credenciales de acceso.
