El actor de amenazas vinculado a Corea del Norte conocido como UNC1069 Se ha observado que apunta al sector de las criptomonedas para robar datos confidenciales de sistemas Windows y macOS con el objetivo final de facilitar el robo financiero.
«La intrusión se basó en un esquema de ingeniería social que involucraba una cuenta de Telegram comprometida, una reunión falsa de Zoom, un vector de infección ClickFix y el uso reportado de video generado por IA para engañar a la víctima», dijeron los investigadores de Google Mandiant Ross Inman y Adrian Hernandez.
UNC1069, que se considera activo desde al menos abril de 2018, tiene un historial de realizar campañas de ingeniería social para obtener ganancias financieras utilizando invitaciones a reuniones falsas y haciéndose pasar por inversores de empresas de renombre en Telegram. También es rastreado por la comunidad de ciberseguridad más amplia bajo los apodos CryptoCore y MASAN.
En un informe publicado en noviembre pasado, Google Threat Intelligence Group (GTIG) señaló el uso por parte del actor de amenazas de herramientas de inteligencia artificial (IA) generativa como Gemini para producir material de señuelo y otros mensajes relacionados con las criptomonedas como parte de los esfuerzos para apoyar sus campañas de ingeniería social.
También se ha observado que el grupo intenta hacer un uso indebido de Gemmini para desarrollar código para robar criptomonedas, así como aprovechar imágenes y videos falsos que imitan a individuos en la industria de las criptomonedas en sus campañas para distribuir una puerta trasera llamada BIGMACHO a las víctimas haciéndola pasar como un kit de desarrollo de software (SDK) de Zoom.
«Desde al menos 2023, el grupo ha pasado de las técnicas de phishing y las finanzas tradicionales (TradFi) a la industria Web3, como los intercambios centralizados (CEX), los desarrolladores de software en instituciones financieras, las empresas de alta tecnología y los individuos en fondos de capital de riesgo», dijo Google.
En la última intrusión documentada por la división de inteligencia de amenazas del gigante tecnológico, se dice que UNC1069 implementó hasta siete familias de malware únicas, incluidas varias familias de malware nuevas, como SILENCELIFT, DEEPBREATH y CHROMEPUSH.
Todo comienza cuando el actor de amenazas se acerca a una víctima a través de Telegram haciéndose pasar por capitalistas de riesgo y, en algunos casos, incluso utilizando cuentas comprometidas de emprendedores legítimos y fundadores de startups. Una vez que se establece el contacto, el actor de amenazas usa Calendly para programar una reunión de 30 minutos con ellos.
El enlace de la reunión está diseñado para redirigir a la víctima a un sitio web falso que se hace pasar por Zoom («zoom.uswe05(.)us»). En ciertos casos, los enlaces de las reuniones se comparten directamente a través de mensajes en Telegram, a menudo utilizando la función de hipervínculo de Telegram para ocultar las URL de phishing.
Independientemente del método utilizado, tan pronto como la víctima hace clic en el enlace, se le presenta una interfaz de videollamada falsa que refleja Zoom, instándola a habilitar su cámara e ingresar su nombre. Una vez que el objetivo se une a la reunión, se le muestra una pantalla que se asemeja a una reunión de Zoom real.
Sin embargo, se sospecha que los videos son deepfakes o grabaciones reales capturadas sigilosamente de otras víctimas que previamente habían sido víctimas del mismo esquema. Vale la pena señalar que Kaspersky está rastreando la misma campaña bajo el nombre GhostCall, que se documentó en detalle en octubre de 2025.
«Las imágenes de su cámara web habían sido grabadas sin saberlo, luego cargadas en una infraestructura controlada por el atacante y reutilizadas para engañar a otras víctimas, haciéndoles creer que estaban participando en una llamada en vivo genuina», señaló el proveedor de seguridad ruso en ese momento. «Cuando terminó la reproducción del video, la página pasó suavemente a mostrar la imagen de perfil de ese usuario, manteniendo la ilusión de una llamada en vivo».
El ataque pasa a la siguiente fase cuando a la víctima se le muestra un mensaje de error falso sobre un supuesto problema de audio, después de lo cual se le solicita que descargue y ejecute un comando de solución de problemas estilo ClickFix para solucionar el problema. En el caso de macOS, los comandos conducen a la entrega de un AppleScript que, a su vez, coloca un binario Mach-O malicioso en el sistema.
Llamado WAVESHAPER, el ejecutable malicioso de C++ está diseñado para recopilar información del sistema y distribuir un descargador basado en Go con nombre en código HYPERCALL, que luego se utiliza para servir cargas útiles adicionales.
- Un componente de puerta trasera de Golang conocido como HIDDENCALL, que proporciona acceso práctico con teclado al sistema comprometido e implementa un minero de datos basado en Swift llamado DEEPBREATH.
- Un segundo descargador de C++ llamado SUGARLOADER, que se utiliza para implementar CHROMEPUSH.
- Una puerta trasera C/C++ minimalista denominada SILENCELIFT, que envía información del sistema a un servidor de comando y control (C2).
DEEPBREATH está equipado para manipular la base de datos de Transparencia, Consentimiento y Control (TCC) de macOS para obtener acceso al sistema de archivos, lo que le permite robar credenciales de iCloud Keychain y datos de Google Chrome, Brave y Microsoft Edge, Telegram y la aplicación Apple Notes.
Al igual que DEEPBREATH, CHROMEPUSH también actúa como un ladrón de datos, solo que está escrito en C++ y se implementa como una extensión de navegador para Google Chrome y Brave, haciéndose pasar por una herramienta para editar Google Docs sin conexión. También viene con la capacidad de registrar pulsaciones de teclas, observar entradas de nombre de usuario y contraseña y extraer cookies del navegador.
«El volumen de herramientas implementadas en un solo host indica un esfuerzo muy decidido para recolectar credenciales, datos del navegador y tokens de sesión para facilitar el robo financiero», dijo Mandiant. «Si bien UNC1069 normalmente está dirigido a empresas emergentes de criptomonedas, desarrolladores de software y empresas de capital de riesgo, la implementación de múltiples familias nuevas de malware junto con el conocido programa de descarga SUGARLOADER marca una expansión significativa de sus capacidades».