Los actores de la amenaza de Corea del Norte han intensificado sus sofisticadas operaciones cibernéticas contra las nuevas empresas de criptomonedas, desplegando una campaña de malware evolucionada que aprovecha las invitaciones fraudulentas de reuniones de zoom para infiltrarse en organizaciones objetivo.
La campaña, que ha estado activa durante más de un año, se dirige específicamente a las personas y las empresas que operan dentro de los sectores Web3, criptomonedas y blockchain a través de ataques de ingeniería social cuidadosamente orquestados.
La metodología de ataque sigue siendo consistente con las operaciones anteriores de Corea del Norte, comenzando con campañas de phishing de lanza que atraen a las víctimas con promesas de oportunidades de trabajo lucrativas.
Los actores de amenaza establecen contacto con objetivos potenciales, típicamente profesionales en la industria criptográfica que buscan empleo y organizan entrevistas falsas realizadas a través de Zoom.
Una vez que las víctimas acuerdan participar, reciben correos electrónicos maliciosos que contienen lo que parecen ser enlaces de reuniones de zoom legítimos junto con instrucciones para ejecutar un “script de actualización SDK de Zoom”.
Analistas de lubina identificado Evolución técnica significativa en esta campaña, señalando que los atacantes han aumentado dramáticamente la complejidad de su malware a través de la integración de múltiples lenguajes de programación.
Este cambio estratégico representa un intento deliberado de evadir los sistemas de detección y confundir a los investigadores de ciberseguridad que pueden carecer de familiaridad con los nuevos lenguajes de programación de nicho.
El proceso de despliegue de malware demuestra una notable sofisticación técnica, y los actores de amenazas ahora emplean lo que los investigadores de seguridad describen como una “mezcla ecléctica de guiones y binarios”.
La llamada comienza con algunos “VC” en la llamada. Envían mensajes en el chat diciendo que no pueden escuchar su audio, o sugiriendo que hay un …
Según el análisis integral de Sentinel One publicado el 2 de julio de 2025, la cadena de ataque incorpora AppleScript para la manipulación del entorno de MacOS nativos, C ++ para la funcionalidad central y binarios compilados por NIM para mayores capacidades de evasión.
Este enfoque de varios idiomas crea lo que los investigadores caracterizan como un rompecabezas criptográfico, donde cada lenguaje de programación tiene un propósito específico en la infraestructura de ataque general.
El avance técnico más significativo en esta campaña implica la implementación estratégica de NIM, un lenguaje de programación relativamente oscuro que proporciona ventajas sustanciales para los actores maliciosos.
La sintaxis y los patrones de comportamiento del lenguaje difieren significativamente de los lenguajes de malware comúnmente analizados, creando puntos ciegos en herramientas automatizadas de análisis de seguridad.
Cuando se ejecuta, el malware establece canales de comunicación persistentes a través de conexiones de WebSocket seguras, habilitando la ejecución de comandos en tiempo real y la exfiltración de datos.
El código malicioso se dirige específicamente a las credenciales almacenadas en el navegador de los navegadores Chrome, Brave, Edge, Firefox y ARC, centrándose en contraseñas guardadas y cookies de sesión asociadas con intercambios de criptomonedas y billeteras digitales.
El malware compromete aún más las bases de datos del llavero MacOS para extraer credenciales de autenticación almacenadas, al tiempo que cosecha los datos del usuario de Telegram, incluidas las bases de datos de mensajes cifrados y los códigos de autenticación potencialmente de dos factores.
Esta estrategia integral de recopilación de datos permite a los actores de amenaza obtener acceso completo a los activos de criptomonedas de las víctimas y cuentas financieras asociadas.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
