Una sofisticada campaña de ingeniería social que aprovecha la plataforma de zoom confiable se ha convertido en el último arma en el arsenal de los piratas informáticos patrocinados por el estado de Corea del Norte.
El Grupo Bluenoroff, un subgrupo con motivación financiera del famoso grupo de Lázaro, ha estado orquestando ataques específicos contra las organizaciones del sector financiero y de criptomonedas a través de infraestructura y tácticas de suplantación relacionadas con el zoom convincentemente falsificadas.
La campaña, que ha estado activa desde al menos marzo de 2025, representa una evolución significativa en la artesanía cibercriminal, explotando la ubicuidad de las plataformas de videoconferencia en las operaciones comerciales modernas.
Los actores de amenaza han comprometido con éxito a las víctimas al hacerse pasar por contactos comerciales conocidos durante las reuniones programadas de zoom, luego manipular objetivos para ejecutar scripts maliciosos disfrazados de herramientas legítimas de reparación de audio.
Este enfoque capitaliza la urgencia operativa y la naturaleza rutinaria de la resolución técnica de problemas en entornos de trabajo remotos.
Analistas de efectos de campo identificado Un incidente distinto que involucró a un proveedor de juegos de azar en línea canadiense el 28 de mayo de 2025, donde el actor de amenaza empleó técnicas avanzadas de ingeniería social para obtener acceso inicial al sistema de la víctima.
El ataque demuestra la madurez operativa del grupo y su enfoque continuo en los objetivos relacionados con las criptomonedas, alineándose con la misión histórica de Bluenoroff de generar ingresos para el régimen de Corea del Norte a través de actividades de cibercrimen.
El impacto financiero y operativo de estos ataques se extiende más allá del robo de datos inmediatos, ya que el malware se dirige específicamente a las extensiones de billetera de criptomonedas, las credenciales del navegador y las claves de autenticación.
Las organizaciones en los sectores de juegos, entretenimiento y fintech en las regiones de América del Norte, Europa y Asia-Pacífico se han identificado como objetivos principales, con el alcance de la campaña que indica un esfuerzo coordinado para comprometer activos de criptomonedas de alto valor y datos financieros confidenciales.
Mecanismo de infección sofisticado y despliegue de múltiples etapas
La cadena de ataque comienza con un AppleScript meticulosamente elaborado que inicialmente parece realizar actualizaciones legítimas de SDK y tareas de mantenimiento.
Script de actualización de Zoom SDK (Fuente – Efecto de campo)
Sin embargo, el análisis del guión malicioso revela aproximadamente 10,000 líneas en blanco diseñadas para oscurecer la verdadera carga útil.
Los comandos ocultos se ejecutan en las líneas 10,017 y 10,018, donde una solicitud de curl se descarga y ejecuta el componente de Infente de InfoTealer primario del dominio fraudulento Zoom-Tech (.) US.
El malware establece la persistencia a través de múltiples mecanismos, incluidas las configuraciones de lanzamiento deemádicos que aseguran la ejecución en el momento de la arranque con los privilegios del administrador.
El proceso de infección implica descargar cargas útiles adicionales de infraestructura comprometida, incluidos los componentes disfrazados de utilidades de sistema legítimas como “iCloud_helper” y “Wi-Fi Updater”.
Estos componentes emplean técnicas sofisticadas anti-forenses, eliminando automáticamente archivos temporales y directorios de estadificación para minimizar su huella forense mientras se mantiene las capacidades operativas para la exfiltración de datos y la ejecución de comandos.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
