¡La estafa de Activos Cripto ha mejorado! Corea del Norte Lazarus utiliza IA para suplantar Zoom y robar cientos de millones de dólares.

Los hackers norcoreanos están perfeccionando un Lavado de ojos común de Activos Cripto. Según un informe de la empresa de seguridad digital Kaspersky, la rama del grupo criminal más temido de Corea del Norte, el Lazarus Group, llamada BlueNoroff APT, está utilizando dos nuevas actividades llamadas GhostCall y GhostHire, aprovechando la inteligencia artificial y llamadas de video repetidas para aumentar la credibilidad.

El Grupo Lazarus de Corea del Norte se transforma de solicitante a cazador

（fuente：X）

Los hackers de encriptación de Corea del Norte se han convertido en una amenaza global, pero sus estrategias de infiltración han cambiado significativamente. Estos criminales solían postularse en empresas de Web3, tratando de robar activos o implantar puertas traseras al convertirse en empleados internos. Sin embargo, recientemente han comenzado a utilizar mensajes de reclutamiento falsos para difundir malware, transformándose de solicitantes en cazadores. Ahora, sus planes se están expandiendo y sus métodos son más difíciles de identificar.

Lazarus Group es una organización de hackers apoyada por el gobierno de Corea del Norte, considerada como uno de los ladrones de Activos Cripto más activos y exitosos del mundo. Según estimaciones de las Naciones Unidas y la empresa de análisis de blockchain Chainalysis, esta organización ha robado más de 3 mil millones de dólares en activos de Activos Cripto desde 2017. Estos fondos se utilizan para financiar los programas de armas nucleares y misiles de Corea del Norte, convirtiéndola en una amenaza para la seguridad internacional.

En el pasado, los métodos de Lazarus eran relativamente burdos. Enviaban grandes cantidades de correos electrónicos de phishing con documentos infectados, esperando que alguien hiciera clic. O se hacían pasar por solicitantes de empleo en plataformas de redes sociales profesionales como LinkedIn, tratando de infiltrarse en las empresas de activos cripto. Aunque estos métodos a veces tenían éxito, su tasa de éxito no era alta, ya que muchas empresas ya habían establecido mecanismos de defensa correspondientes.

Sin embargo, BlueNoroff APT, como una rama del Grupo Lazarus especializada en instituciones financieras y compañías de Activos Cripto, está mostrando una mayor profesionalidad y adaptabilidad. Los investigadores de Kaspersky han descubierto que las actividades GhostCall y GhostHire comparten la misma infraestructura de gestión, lo que indica que se trata de un plan de ataque multidimensional bien coordinado.

GhostCall y GhostHire: Lavado de ojos de activos cripto por partida doble

GhostCall y GhostHire representan una nueva etapa en los Lavado de ojos de Activos Cripto, ambos tienen diferentes objetivos pero utilizan técnicas de ingeniería social similares.

GhostCall: Lavado de ojos para inversores de alto nivel en Web3

En GhostCall, estos hackers de encriptación norcoreanos tienen como objetivo a los altos ejecutivos de Web3, disfrazándose de posibles inversores. Investigan el trasfondo del objetivo, la situación de la empresa y las actividades recientes, y luego envían propuestas de inversión o invitaciones a colaborar altamente personalizadas. Estos mensajes suelen afirmar que representan a fondos de capital de riesgo o oficinas familiares de renombre, y expresan interés en invertir millones de dólares.

Una vez que el objetivo responde, los hackers organizarán una videoconferencia, a menudo afirmando que usarán Zoom o Microsoft Teams. Sin embargo, enviarán un enlace a una “versión actualizada” o “versión segura” del software de la reunión, afirmando que esto es para proteger secretos comerciales o cumplir con requisitos de cumplimiento. Este software es en realidad una versión clonada, incrustada con código malicioso.

GhostHire: trampa de reclutamiento para ingenieros de blockchain

Por otro lado, GhostHire atrae a ingenieros de blockchain con oportunidades laborales tentadoras. Los hackers se hacen pasar por reclutadores de empresas de Activos Cripto reconocidas o de proyectos emergentes, ofreciendo salarios y incentivos de acciones muy por encima del mercado. Para “probar” las habilidades de los candidatos, piden completar un desafío de programación o una tarea técnica.

Esta tarea generalmente implica descargar un repositorio de GitHub o un entorno de desarrollo especializado. Sin embargo, estos archivos contienen malware que, una vez ejecutado, infectará el sistema. Kaspersky señala que estos hackers han comenzado a centrarse en los sistemas operativos preferidos por los desarrolladores de Activos Cripto, especialmente macOS y Linux, y han desarrollado variantes de malware de manera específica.

Estos dos tipos de Lavado de ojos de Activos Cripto tienen un defecto común: las víctimas deben interactuar realmente con el software sospechoso. Esto perjudica la tasa de éxito de las estafas anteriores, ya que cada vez más profesionales con alta conciencia de seguridad se niegan a descargar software de origen desconocido. Sin embargo, estos hackers norcoreanos han encontrado una nueva forma de reutilizar las oportunidades perdidas, que es clave para la actual escalada de amenazas.

La tecnología de deepfake de IA convierte el fracaso en una nueva arma

La colaboración mejorada entre GhostCall y GhostHire permite a los hackers mejorar sus técnicas de ingeniería social, que es la evolución más peligrosa de los actuales Lavado de ojos de Activos Cripto. Además del contenido generado por IA, también pueden utilizar cuentas de empresarios reales hackeadas o fragmentos de videollamadas reales, lo que hace que sus engaños sean más creíbles.

El funcionamiento específico es el siguiente: cuando un alto ejecutivo de una Activos Cripto corta la comunicación con reclutadores o inversores sospechosos, los hackers no se rinden fácilmente. En cambio, registran todo el proceso de interacción, incluyendo cualquier imagen de la videollamada, fragmentos de audio y el entorno de fondo. Incluso si este Lavado de ojos falla, este material se convierte en un arma para atacar a la siguiente víctima.

Utilizando inteligencia artificial, los hackers pueden sintetizar nuevos “diálogos”, imitando con asombrosa veracidad el tono, los gestos y el entorno de las personas. Por ejemplo:

Deepfake de video: Los hackers pueden usar herramientas de IA para combinar 30 segundos de video real obtenidos de un fracaso en un Lavado de ojos en una “presentación de inversión” o “entrevista técnica” de 5 minutos, donde las expresiones faciales y los movimientos de labios de la víctima están perfectamente sincronizados con la voz falsificada.

Clonación de voz: incluso con solo unos segundos de muestra de voz, las herramientas de IA modernas pueden generar clonaciones de voz que son prácticamente indistinguibles de la realidad. Los hackers pueden hacer que la “víctima” “recomiende” una oportunidad de inversión o un proceso de reclutamiento en un nuevo engaño.

Superposición de identidad: Lo más complicado es que los hackers combinan materiales de múltiples estafas fallidas para crear un ecosistema falso completo. Por ejemplo, pueden hacer que el “inversionista A” mencione al “fundador B” en un video, y ambos son víctimas de estafas anteriores.

Esto es muy peligroso, como se puede imaginar. Un fundador de un proyecto de Activos Cripto puede eludir un ataque debido a su alta alerta, pero descubre que su imagen ha sido utilizada para engañar a otros fundadores o inversores unas semanas después. Lo peor es que este contenido deepfake puede difundirse en redes sociales o en redes profesionales, dañando la reputación de la víctima.

Cadena de ataque real y recomendaciones de defensa

Sin importar quién sea el objetivo, las cadenas de ataques reales de Lavado de ojos de Activos Cripto siguen un patrón similar:

Fase uno: Investigación y contacto

Los hackers investigan objetivos en LinkedIn, Twitter y foros de Activos Cripto, recopilan información personal y profesional, y luego envían mensajes iniciales altamente personalizados.

Etapa dos: Establecer confianza

Establecer una relación de confianza a través de múltiples comunicaciones y videollamadas (posiblemente utilizando tecnología de deepfake) para que el objetivo baje la guardia.

Etapa tres: Inducir a la descarga

Solicitar la descarga de software o documentos específicos por razones razonables (pruebas, cumplimiento, confidencialidad).

Etapa Cuatro: Infiltración del Sistema

Una vez que el malware se ejecute, los hackers obtienen acceso al sistema, roban la clave privada, la frase semilla o transfieren activos directamente.

Etapa cinco: Recopilación de materiales

Incluso si el ataque falla, los hackers recopilarán todos los videos, audios e información del proceso de interacción para futuros ataques.

Medidas de defensa clave

Verificación de identidad estricta: Confirma la identidad de la otra parte a través de múltiples canales independientes, no te limites a un solo método de contacto.

Rechazar software no estándar: Insistir en utilizar herramientas como Zoom, Teams, descargadas oficialmente, y rechazar cualquier “versión especial”.

Entorno de prueba aislado: Si es necesario probar código o documentos, utiliza una máquina virtual o un entorno de sandbox, nunca ejecutes en el sistema principal.

Cuidado con las tácticas de alta presión: Cualquier situación que genere un sentido de urgencia, exija decisiones rápidas o afirme “una oportunidad única” debe ser altamente sospechosa.

Carteras de hardware y múltiples firmas: Asegúrese de que las claves privadas estén almacenadas en una cartera de hardware y que los activos importantes estén protegidos con múltiples firmas.

Incluso si estos Lavado de ojos de Activos Cripto fracasan, el daño potencial sigue siendo enorme. Cualquiera que se vea expuesto a situaciones anormales o de alta presión debe mantenerse alerta y nunca descargar software desconocido o aceptar solicitudes inapropiadas. La continua evolución del Lazarus Group de Corea del Norte muestra que la seguridad en la encriptación de Activos Cripto ya no es solo un problema técnico, sino una guerra a largo plazo contra atacantes de nivel estatal.