Ha surgido una sofisticada campaña cibercriminal dirigida a profesionales a través de aplicaciones de zoom falsas meticulosamente elaboradas diseñadas para ejecutar comandos de adquisición del sistema.
El ataque aprovecha las técnicas avanzadas de ingeniería social combinadas con convencer la falsificación del dominio para engañar a los usuarios para que comprometan sus sistemas, lo que representa una evolución significativa en los troyanos de acceso remoto y las tácticas de compromiso de correo electrónico de negocios.
Los actores de amenaza afiliados a Corea del Norte han desarrollado un esquema elaborado que explota la adopción generalizada de plataformas de videoconferencia, particularmente dirigidas a profesionales y empresarios de negocios a través de la ingeniería social basada en LinkedIn.
La campaña comienza con consultas comerciales aparentemente legítimas sobre plataformas de redes profesionales, donde los atacantes establecen una relación con posibles víctimas antes de sugerir reuniones de videoconferencia para continuar las discusiones.
La infraestructura maliciosa se centra en dominios convincentemente falsificados que imitan de cerca los servicios de zoom legítimos. Específicamente, los atacantes tienen dominios registrados como “USWEB08.US” con subdominios como “zoom.usweb08.us” para crear la ilusión de la infraestructura oficial de zoom.
Estos dominios se registraron estratégicamente poco antes de la implementación, con registros de Whois que indican fechas de creación tan recientes como el 17 de abril de 2025, lo que demuestra la naturaleza actual y activa de la campaña.
Analistas e investigadores de LinkedIn identificado Esta campaña de malware a través de intentos de orientación directa contra ejecutivos de tecnología y fundadores de inicio.
La naturaleza sofisticada del ataque se hizo evidente cuando los profesionales de la seguridad comenzaron a documentar enfoques idénticos en múltiples víctimas potenciales, revelando un esfuerzo coordinado en lugar de incidentes aislados.
Las aplicaciones armadas presentan a los usuarios interfaces de zoom perfectamente replicadas, completadas con baldosas de video participantes falsas, mensajes de chat y entornos de reunión simulados.
Cuando las víctimas intentan unirse a estas reuniones fraudulentas, se encuentran con problemas de conectividad de audio diseñados que sirven como pretexto para el compromiso del sistema.
El proceso de solución de problemas falsos ordena a los usuarios que ejecute comandos de terminal bajo la apariencia de resolver dificultades técnicas, otorgando efectivamente el acceso administrativo de los atacantes a los sistemas de víctimas.
El impacto de la campaña se extiende más allá de los compromisos individuales, se dirige a las organizaciones a través de su personal clave y accede potencialmente a datos corporativos confidenciales, activos de criptomonedas y propiedad intelectual.
La presentación profesional y el momento de estos ataques sugieren recursos a nivel de estado-nación y capacidades de planificación consistentes con las operaciones cibernéticas de Corea del Norte.
Mecanismo de infección y tácticas de ingeniería social
La secuencia de ataque demuestra una comprensión sofisticada de los patrones de comunicación empresarial y los procedimientos de soporte técnico.
Los atacantes inician el contacto a través de perfiles profesionales de LinkedIn, a menudo haciendo pasar por posibles socios comerciales o clientes interesados en los servicios de la víctima.
Perfil falso (fuente – LinkedIn)
Una vez que se establece el contacto inicial, la comunicación cambia a plataformas de mensajería cifradas como Telegram, creando un canal más privado que parece legítimo al evitar el monitoreo de la plataforma.
La fase de programación emplea sistemas de reserva de calendario, prestando credibilidad adicional a la interacción. Los atacantes generalmente reservan reuniones a través de enlaces de calendario legítimos, manteniendo la aparición de prácticas comerciales estándar.
Aproximadamente 20 minutos antes de las reuniones programadas, los atacantes envían mensajes urgentes que reclaman dificultades técnicas o que los miembros del equipo ya están esperando, creando presión para acciones inmediatas.
La ejecución técnica implica redirigir a las víctimas del enlace malicioso inicial a las páginas de solución de problemas falsas que solicitan la ejecución del comando del terminal.
Es probable que estos comandos establezcan un acceso persistente en la puerta trasera, habiliten capacidades de exfiltración de datos o instalar componentes de malware adicionales diseñados para mantener el acceso al sistema a largo plazo mientras evade mecanismos de detección.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar Tria gratis de 14 días
