Los hackers vinculados a Corea del Norte utilizan videollamadas deepfake para atacar a trabajadores de criptomonedas

En breve

• Los atacantes han utilizado una videollamada falsa y una “solución de audio” de Zoom para distribuir malware en macOS.
• El método coincide con una técnica de intrusión previamente documentada vinculada a BlueNoroff, un subgrupo de Lazarus de Corea del Norte.
• El incidente se produce en un momento en que las estafas de suplantación impulsadas por IA llevaron las pérdidas en criptomonedas a un récord de 17 mil millones de dólares en 2025.

Los hackers vinculados a Corea del Norte continúan usando videollamadas en vivo, incluyendo deepfakes generados por IA, para engañar a desarrolladores y trabajadores de criptomonedas y hacer que instalen software malicioso en sus propios dispositivos. En la última instancia divulgada por Martin Kuchař, cofundador de BTC Prague, los atacantes usaron una cuenta comprometida de Telegram y una videollamada simulada para distribuir malware disfrazado de una solución de audio de Zoom, dijo. La “campaña de hacking de alto nivel” parece estar “dirigida a usuarios de Bitcoin y criptomonedas”, reveló Kuchař el jueves en X. 

Los atacantes contactan a la víctima y organizan una llamada en Zoom o Teams, explicó Kuchař. Durante la llamada, utilizan un video generado por IA para parecerse a alguien que la víctima conoce. Luego afirman que hay un problema de audio y piden a la víctima que instale un plugin o archivo para solucionarlo. Una vez instalado, el malware otorga a los atacantes acceso completo al sistema, permitiéndoles robar Bitcoin, tomar el control de cuentas de Telegram y usar esas cuentas para dirigirse a otros. Esto coincide con el aumento de estafas de suplantación impulsadas por IA, que han llevado las pérdidas relacionadas con criptomonedas a un récord de 17 mil millones de dólares en 2025, con atacantes que cada vez más usan videos deepfake, clonación de voz y identidades falsas para engañar a las víctimas y acceder a fondos, según datos de la firma de análisis blockchain Chainalysis. Ataques similares El ataque, según lo descrito por Kuchař, se asemeja mucho a una técnica documentada por primera vez por la empresa de ciberseguridad Huntress, que informó en julio del año pasado que estos atacantes atraen a un trabajador de criptomonedas en una llamada de Zoom simulada tras un contacto inicial en Telegram, a menudo usando un enlace falso a una reunión alojada en un dominio de Zoom falsificado.

Durante la llamada, los atacantes afirmaban que había un problema de audio e instruían a la víctima a instalar lo que parecía ser una solución relacionada con Zoom, que en realidad es un AppleScript malicioso que inicia una infección en varias etapas en macOS, según Huntress. Una vez ejecutado, el script desactiva el historial de shell, verifica o instala Rosetta 2 (una capa de traducción) en dispositivos con Apple Silicon, y solicita repetidamente la contraseña del sistema para obtener privilegios elevados. El estudio encontró que la cadena de malware instala múltiples cargas útiles, incluyendo puertas traseras persistentes, herramientas de keylogging y portapapeles, y ladrones de billeteras de criptomonedas, una secuencia similar a la que Kuchař señaló cuando reveló el lunes que su cuenta de Telegram fue comprometida y posteriormente utilizada para atacar a otros de la misma manera. Patrones sociales Los investigadores de seguridad de Huntress han atribuido con alta confianza la intrusión a una amenaza persistente avanzada vinculada a Corea del Norte, rastreada como TA444, también conocida como BlueNoroff y por varios otros alias bajo el término paraguas Lazarus Group, un grupo patrocinado por el estado enfocado en el robo de criptomonedas desde al menos 2017. Al preguntarle sobre los objetivos operativos de estas campañas y si creen que hay una correlación, Shān Zhang, director de seguridad de la información en la firma de seguridad blockchain Slowmist, dijo a Decrypt que el último ataque a Kuchař “posiblemente” esté relacionado con campañas más amplias del Lazarus Group. “Hay una reutilización clara en las campañas. Vemos consistentemente el targeting de billeteras específicas y el uso de scripts de instalación muy similares,” dijo David Liberman, co-creador de la red de computación de IA descentralizada Gonka, a Decrypt. Las imágenes y videos “ya no pueden considerarse pruebas confiables de autenticidad,” dijo Liberman, añadiendo que el contenido digital “debería estar firmado criptográficamente por su creador, y esas firmas deberían requerir autorización multifactor.” Las narrativas, en contextos como este, se han convertido en “una señal importante para rastrear y detectar,” dado que estos ataques “dependen de patrones sociales familiares,” afirmó.

El grupo Lazarus de Corea del Norte está vinculado a campañas contra empresas, trabajadores y desarrolladores de criptomonedas, utilizando malware personalizado y ingeniería social sofisticada para robar activos digitales y credenciales de acceso.