Se ha observado que los actores de amenazas vinculados a Corea del Norte apuntan a los sectores Web3 y blockchain como parte de campañas gemelas rastreadas como llamada fantasma y Alquiler de fantasmas.
Según Kaspersky, las campañas son parte de una operación más amplia llamada SnatchCrypto que ha estado en marcha desde al menos 2017. La actividad se atribuye a un subgrupo del Grupo Lazarus llamado BlueNoroff, que también se conoce como APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (anteriormente Copernicium) y Stardust Chollima.
Las víctimas de la campaña GhostCall abarcan varios hosts macOS infectados ubicados en Japón, Italia, Francia, Singapur, Turquía, España, Suecia, India y Hong Kong, mientras que Japón y Australia han sido identificados como los principales cotos de caza para la campaña GhostHire.
«GhostCall apunta en gran medida a los dispositivos macOS de ejecutivos de empresas tecnológicas y del sector de capital de riesgo al acercarse directamente a los objetivos a través de plataformas como Telegram e invitar a víctimas potenciales a reuniones relacionadas con inversiones vinculadas a sitios web de phishing similares a Zoom», dijeron los investigadores de Kaspersky Sojun Ryu y Omar Amin.
«La víctima se uniría a una llamada falsa con grabaciones genuinas de otras víctimas reales de esta amenaza en lugar de deepfakes. La llamada continúa sin problemas y luego alienta al usuario a actualizar el cliente Zoom con un script. Finalmente, el script descarga archivos ZIP que resultan en cadenas de infección implementadas en un host infectado».
Por otro lado, GhostHire implica acercarse a objetivos potenciales, como desarrolladores Web3, en Telegram y atraerlos para que descarguen y ejecuten un repositorio GitHub con trampa explosiva con el pretexto de completar una evaluación de habilidades dentro de los 30 minutos posteriores a compartir el enlace, para garantizar una mayor tasa de éxito de infección.
Una vez instalado, el proyecto está diseñado para descargar una carga útil maliciosa en el sistema del desarrollador según el sistema operativo utilizado. La empresa rusa de ciberseguridad dijo que ha estado siguiendo las dos campañas desde abril de 2025, aunque se evalúa que GhostCall ha estado activo desde mediados de 2023, probablemente después de la campaña RustBucket.
RustBucket marcó el principal giro del colectivo adversario para apuntar a sistemas macOS, tras lo cual otras campañas han aprovechado familias de malware como KANDYKORN, ObjCShellz y TodoSwift.
Vale la pena señalar que varios proveedores de seguridad han documentado ampliamente varios aspectos de la actividad durante el año pasado, incluidos Microsoft, Huntress, Field Effect, Huntabil.IT, Validin y SentinelOne.
La campaña GhostCall
Los objetivos que llegan a las páginas falsas de Zoom como parte de la campaña GhostCall reciben inicialmente una página falsa que da la ilusión de una llamada en vivo, solo para mostrar un mensaje de error de tres a cinco segundos después, instándolos a descargar un kit de desarrollo de software (SDK) de Zoom para abordar un supuesto problema al continuar con la llamada.
Si las víctimas caen en la trampa e intentan actualizar el SDK haciendo clic en la opción «Actualizar ahora», se descarga un archivo AppleScript malicioso en su sistema. En caso de que la víctima esté utilizando una máquina con Windows, el ataque aprovecha la técnica ClickFix para copiar y ejecutar un comando de PowerShell.
 |
| Flujo de ataque de la campaña GhostCall |
En cada etapa, cada interacción con el sitio falso se registra y se envía a los atacantes para rastrear las acciones de la víctima. Tan recientemente como el mes pasado, se observó al actor de amenazas haciendo la transición de Zoom a Microsoft Teams, utilizando la misma táctica de engañar a los usuarios para que descarguen un SDK de TeamsFx esta vez para desencadenar la cadena de infección.
Independientemente del señuelo utilizado, AppleScript está diseñado para instalar una aplicación falsa disfrazada de Zoom o Microsoft Teams. También descarga otro AppleScript denominado DownTroy que verifica las contraseñas almacenadas asociadas con aplicaciones de administración de contraseñas e instala malware adicional con privilegios de root.
DownTroy, por su parte, está diseñado para lanzar varias cargas útiles como parte de ocho cadenas de ataque distintas, al tiempo que evita el marco de Transparencia, Consentimiento y Control (TCC) de Apple.
- ZoomClutch o TeamsClutch, que utiliza un implante basado en Swift que se hace pasar por Zoom o Teams y al mismo tiempo alberga una funcionalidad para solicitar al usuario que ingrese su contraseña del sistema para completar la actualización de la aplicación y filtrar los detalles a un servidor externo.
- DownTroy v1, que utiliza un cuentagotas basado en Go para iniciar el malware DownTroy basado en AppleScript que luego es responsable de descargar scripts adicionales del servidor hasta que se reinicia la máquina.
- CosmicDoor, que utiliza un cargador binario de C++ llamado GillyInjector (también conocido como InjectWithDyld) para ejecutar una aplicación Mach-O benigna e inyectarle una carga útil maliciosa en tiempo de ejecución. Cuando se ejecuta con el indicador –d, GillyInjector activa sus capacidades destructivas y borra irrevocablemente todos los archivos en el directorio actual. La carga útil inyectada es una puerta trasera escrita en Nim llamada CosmicDoor que puede comunicarse con un servidor externo para recibir y ejecutar comandos. Se cree que los atacantes primero desarrollaron una versión Go de CosmicDoor para Windows, antes de pasar a las variantes Rust, Python y Nim. También descarga una suite de robo de scripts de bash llamada SilentSiphon.
- RooTroy, que utiliza el cargador Nimcore para iniciar GillyInjector, que luego inyecta una puerta trasera Go llamada RooTroy (también conocida como Root Troy V4) para recopilar información del dispositivo, enumerar los procesos en ejecución, leer la carga útil de un archivo específico y descargar malware adicional (contando RealTimeTroy) y ejecutarlos.
- RealTimeTroy, que utiliza el cargador Nimcore para iniciar GillyInjector, que luego inyecta una puerta trasera Go llamada RealTimeTroy que se comunica con un servidor externo utilizando el protocolo WSS para leer/escribir archivos, obtener información de directorio y proceso, cargar/descargar archivos, finalizar un proceso específico y obtener información del dispositivo.
- SneakMain, que utiliza el cargador Nimcore para iniciar una carga útil de Nim llamada SneakMain para recibir y ejecutar comandos AppleScript adicionales recibidos desde un servidor externo.
- DownTroy v2, que utiliza un cuentagotas llamado CoreKitAgent para iniciar el cargador Nimcore, que luego inicia DownTroy basado en AppleScript (también conocido como NimDoor) para descargar un script malicioso adicional desde un servidor externo.
- SysPhon, que utiliza una versión ligera de RustBucket llamada SysPhon y SUGARLOADER, un cargador conocido que anteriormente entregó el malware KANDYKORN. SysPhon, también empleado en la campaña Hidden Risk, es un programa de descarga escrito en C++ que puede realizar reconocimientos y recuperar una carga útil binaria de un servidor externo.
 |
| Comportamiento general del sitio de phishing Zoom |
SilentSiphon está equipado para recopilar datos de Apple Notes, Telegram, extensiones de navegadores web, así como credenciales de navegadores y administradores de contraseñas, y secretos almacenados en archivos de configuración relacionados con una larga lista de servicios: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes y OpenAI.
«Si bien los videos de las llamadas falsas se grabaron a través de las páginas de phishing de Zoom fabricadas por el actor, las imágenes de perfil de los participantes de la reunión parecen haber sido obtenidas de plataformas de trabajo o plataformas de redes sociales como LinkedIn, Crunchbase o X», dijo Kaspersky. «Curiosamente, algunas de estas imágenes fueron mejoradas con (OpenAI) GPT-4o».
La campaña GhostHire
La campaña GhostHire, añadió la empresa rusa de ciberseguridad, también se remonta a mediados de 2023, cuando los atacantes iniciaron contacto con los objetivos directamente en Telegram, compartiendo detalles de una oferta de trabajo junto con un enlace a un perfil de LinkedIn que se hacía pasar por reclutadores de empresas financieras con sede en EE. UU. en un intento de dar a las conversaciones un barniz de legitimidad.
«Después de la comunicación inicial, el actor agrega el objetivo a una lista de usuarios para un bot de Telegram, que muestra el logotipo de la empresa suplantada y afirma falsamente que agiliza las evaluaciones técnicas de los candidatos», explicó Kaspersky.
 |
| Proceso de entrega de DownTroy en la campaña GhostHire |
«Luego, el bot envía a la víctima un archivo (ZIP) que contiene un proyecto de evaluación de codificación, junto con un plazo estricto (a menudo alrededor de 30 minutos) para presionar al objetivo para que complete rápidamente la tarea. Esta urgencia aumenta la probabilidad de que el objetivo ejecute el contenido malicioso, lo que lleva a un compromiso inicial del sistema».
El proyecto en sí es inofensivo, pero incorpora una dependencia maliciosa en forma de un módulo Go malicioso alojado en GitHub (por ejemplo, uniroute), lo que provoca que la secuencia de infección se active una vez que se ejecuta el proyecto. Esto incluye primero determinar el sistema operativo de la computadora de la víctima y entregar una carga útil de siguiente etapa adecuada (es decir, DownTroy) programada en PowerShell (Windows), bash script (Linux) o AppleScript (macOS).
También se implementan a través de DownTroy en los ataques dirigidos a Windows RooTroy, RealTimeTroy, una versión Go de CosmicDoor y un cargador basado en Rust llamado Bof que se utiliza para decodificar y lanzar una carga útil de shellcode cifrada almacenada en la carpeta «C:Windowssystem32».
 |
| Cadena general de infección de Windows en la campaña GhostHire |
«Nuestra investigación indica un esfuerzo sostenido por parte del actor para desarrollar malware dirigido a sistemas Windows y macOS, orquestado a través de una infraestructura unificada de comando y control», dijo Kaspersky. «El uso de IA generativa ha acelerado significativamente este proceso, permitiendo un desarrollo de malware más eficiente con una sobrecarga operativa reducida».
«La estrategia de orientación del actor ha evolucionado más allá de la simple criptomoneda y el robo de credenciales de navegador. Al obtener acceso, realizan una adquisición integral de datos en una variedad de activos, incluida infraestructura, herramientas de colaboración, aplicaciones para tomar notas, entornos de desarrollo y plataformas de comunicación (mensajeros)».