Un grupo de cibercriminales vinculado a Corea del Norte llevó a cabo un sofisticado ataque contra una empresa cripto utilizando una videollamada falsa por Zoom. El engaño, impulsado por ingeniería social y presuntos deepfakes creados con inteligencia artificial, derivó en el despliegue de malware diseñado para robar credenciales, datos de sesión y posiblemente activos digitales. El incidente forma parte de una ola creciente de ciberataques que aprovechan plataformas legítimas para infiltrar el sector Web3.
El reporte más reciente de Mandiant, el equipo de ciberseguridad de Google, reveló que el ataque fue ejecutado por UNC1069, un grupo activo desde 2018 con motivaciones financieras y vínculos con el gobierno norcoreano. La cadena de ataque comenzó con una cuenta de Telegram comprometida, perteneciente a un ejecutivo de la industria. Usando esa identidad, los hackers ganaron la confianza de la víctima y enviaron una invitación para una videollamada a través de Calendly.
Deepfakes, malware y una videollamada de Calendly
El enlace redirigía a un dominio falso de Zoom, desde donde los atacantes desplegaron un deepfake que imitaba a un CEO reconocido del mundo cripto. A pesar de que Mandiant no logró verificar el uso exacto de modelos IA en este caso, las características del engaño coinciden con otros ataques documentados previamente.
Durante la llamada, los criminales simularon fallas de audio para inducir a la víctima a ejecutar comandos de diagnóstico. Esto activó la instalación de malware en varias etapas, dirigido a sistemas Windows y macOS.
Mandiant identificó siete familias de malware utilizadas para robar credenciales de Keychain, cookies de navegador, sesiones de Telegram y otros archivos críticos. El ataque parecía enfocado en obtener el mayor volumen posible de datos para futuras campañas de ingeniería social.
