Los piratas informáticos estatales de Corea del Norte recurren a llamadas de Zoom deepfake para hackear empresas de criptomonedas

Los piratas informáticos estatales de Corea del Norte están apuntando a empresas de criptomonedas con varias piezas únicas de malware implementadas junto con múltiples estafas, incluidas reuniones falsas de Zoom. 

Se ha observado que el actor de amenazas vinculado a Corea del Norte conocido como UNC1069 apunta al sector de las criptomonedas para robar datos confidenciales de los sistemas Windows y macOS con el objetivo final de facilitar el robo financiero.

Se evaluó que UNC1069 estuvo activo desde abril de 2018. Tiene antecedentes de ejecutar campañas de ingeniería social para obtener ganancias financieras utilizando invitaciones a reuniones falsas y haciéndose pasar por inversores de empresas confiables. 

Una llamada falsa de Zoom despliega un ataque de malware contra una empresa de criptomonedas

En su último informe, los investigadores de Google Mandiant detallaron su investigación sobre una intrusión dirigida a una empresa de tecnología financiera del sector de las criptomonedas. Según los investigadores, la intrusión comenzó con una cuenta de Telegram comprometida perteneciente a un ejecutivo del sector. 

Los atacantes usaron el perfil pirateado para contactar con la víctima. Poco a poco, fueron generando confianza antes de enviarle una invitación de Calendly para una videollamada. El enlace de la reunión redirigía al objetivo a un dominio falso de Zoom alojado en la infraestructura bajo el control de los atacantes.

Durante la llamada, la víctima informó haber visto lo que parecía ser un video deepfake de un director ejecutivo de otra empresa de criptomonedas.

“Si bien Mandiant no pudo recuperar pruebas forenses paradentel uso de modelos de IA en este caso específico, la artimaña denunciada es similar a un incidente previamente informado públicamentedent el informe afirma.

Los atacantes simularon problemas de audio en la reunión para justificar el siguiente paso. Instruyeron a la víctima a ejecutar comandos de solución de problemas en su dispositivo. Estos comandos, adaptados tanto para sistemas macOS como Windows, iniciaron en secreto la cadena de infección. Como resultado, se activaron varios componentes de malware.

Mandiant identsiete tipos distintos de malware utilizados durante el ataque. Las herramientas fueron diseñadas para acceder a la cadena de claves y robar contraseñas, recuperar cookies del navegador e información de inicio de sesión, acceder a información de sesión de Telegram y obtener otros archivos privados.

Los investigadores determinaron que el objetivo era doble: permitir el robo de criptomonedas y recopilar datos que pudieran respaldar futuros ataques de ingeniería social. La investigación reveló un volumen inusualmente grande de herramientas instaladas en un solo host. 

Los grupos de estafas vinculados a la IA muestran una mayor eficiencia operativa

Eldent forma parte de un patrón más amplio. Agentes vinculados a Corea del Norte desviaron más de 300 millones de dólares haciéndose pasar por figuras de confianza de la industria durante reuniones fraudulentas por Zoom y Microsoft Teams.

La magnitud de la actividad a lo largo del año fue aún más impactante. Según Cryptopolitan , Cryptopolitanlos grupos de amenazas norcoreanos fueron responsables del robo de 2.020 millones de dólares en activos digitales en 2025, un aumento del 51 % con respecto al año anterior

Chainalysis también reveló que los clústeres de estafas vinculados a proveedores de servicios de IA muestran una mayor eficiencia operativa que aquellos sin dichos vínculos. Según la firma, esta tendencia sugiere un futuro en el que la IA se convertirá en un componente estándar de la mayoría de las operaciones de estafa.

En un informe publicado en noviembre pasado, el Grupo de Inteligencia de Amenazas de Google (GTIG) señaló el uso de herramientas de inteligencia artificial (IA) generativa por parte del atacante, como Gemini. Las utilizan para generar materiales de señuelo y otros mensajes relacionados con las criptomonedas como parte de sus esfuerzos para respaldar sus campañas de ingeniería social.

Desde al menos 2023, el grupo ha pasado de las técnicas de phishing y las finanzas tradicionales (TradFi) a la industria Web3, como los intercambios centralizados (CEX), los desarrolladores de software en instituciones financieras, las empresas de alta tecnología y los individuos en fondos de capital de riesgo.

Google.

También se ha observado que el grupo intenta usar indebidamente Gemini para desarrollar código que permite robar criptoactivos. Además, utilizan imágenes deepfake y vídeos engañosos que imitan a personas del sector cripto en sus campañas para distribuir una puerta trasera llamada BIGMACHO a las víctimas, haciéndola pasar por un kit de desarrollo de software (SDK) de Zoom.