Google junta a Mandiant denunciaron que un grupo de hackers norcoreanos desplegaron un malware, que utiliza inteligencia artificial, para atacar su sistema cripto y de DeFi. El ataque más llamativo consistió en buscar blockchains públicos aumentando los riesgos de robo directo y exfiltración de credenciales para custodios, desarrolladores y firmas de trading.
Google y Mandiant atribuyeron múltiples campañas de intrusión recientes a grupos alineados con la RPDC, entre ellos UNC1069 y KONNI, señalando un nivel de sofisticación creciente y una clara orientación financiera. Según los investigadores, estas operaciones no fueron aisladas, sino parte de un esfuerzo sostenido para infiltrarse en el ecosistema cripto global aprovechando la confianza, la urgencia operativa y la exposición digital de sus actores clave.
Uno de los casos más ilustrativos se documentó el 9 de febrero, cuando se comprometió la cuenta de Telegram de un ejecutivo del sector cripto. A partir de allí, los atacantes orquestaron una videollamada con tecnología deepfake y activaron un flujo de trabajo conocido como “ClickFix”, en el que las víctimas recibían supuestas instrucciones de solución de problemas. Estos comandos, ejecutados tanto en macOS como en Windows, terminaban instalando herramientas maliciosas adicionales sin levantar sospechas inmediatas.
Los vectores de entrega reforzaron la credibilidad del engaño al apoyarse en infraestructura de Zoom suplantada, anuncios maliciosos a través de Google Ads y cebos distribuidos en Discord. Este enfoque multicanal permitió ampliar el alcance de las campañas y aumentar las probabilidades de éxito, especialmente entre perfiles técnicos acostumbrados a resolver incidencias rápidamente y bajo presión.
Ataques en cadena a usuarios de Google
A lo largo de toda la cadena de ataque, los analistas detectaron un uso intensivo de inteligencia artificial. Modelos de lenguaje a gran escala se emplearon para crear piezas de ingeniería social altamente convincentes, generar y ofuscar scripts maliciosos en tiempo real y producir código nuevo bajo demanda para evadir mecanismos tradicionales de detección por firmas. Incluso se identificaron herramientas experimentales reutilizables, como prototipos de ransomware asistidos por IA y droppers capaces de consultar LLMs para adaptar su comportamiento.
En paralelo, los investigadores catalogaron diversas familias de malware, tanto nuevas como conocidas, integradas en cadenas de infección de varias etapas. Entre ellas se mencionaron WAVESHAPER, HYPERCALL, HIDDENCALL, DEEPBREATH, CHROMEPUSH, SILENCELIFT y SUGARLOADER, que en conjunto permiten desde descargadores y cargadores en memoria hasta mineros de datos y puertas traseras con control humano.
Además, se observó el uso de la técnica EtherHiding, que incrusta instrucciones cifradas en contratos inteligentes de BNB Smart Chain y Ethereum para establecer canales de comando y control resistentes y difíciles de desmantelar.
Estas campañas estuvieron claramente orientadas a startups cripto, desarrolladores, firmas de capital de riesgo y personal de Web3, con objetivos como el robo de credenciales, la exfiltración de cookies de navegador y keychains, y el desvío directo de activos digitales. Para traders y gestores, el riesgo es doble: por un lado, el compromiso de entornos de firma o tokens de sesión que habilitan transferencias de fondos, y por otro, el espionaje silencioso de operaciones sensibles de trading o custodia.
