Una campaña de ingeniería social "novedosa" ha sido observada abusando de Obsidian, una aplicación multiplataforma para tomar notas, como vector de acceso inicial para distribuir un troyano de acceso remoto (RAT) de Windows no documentado hasta ahora, llamado PHANTOMPULSE, en ataques dirigidos a individuos de los sectores financiero y de criptomonedas.
Denominada REF6598 por Elastic Security Labs, la actividad ha sido detectada empleando tácticas elaboradas de ingeniería social a través de LinkedIn y Telegram para comprometer sistemas Windows y macOS. Los atacantes contactan a posibles víctimas en la red social profesional bajo la apariencia de una firma de capital de riesgo y luego trasladan la conversación a un grupo de Telegram donde varios supuestos socios están presentes.
El chat grupal de Telegram está diseñado para dar a la operación un toque de credibilidad, con miembros discutiendo temas relacionados con servicios financieros y soluciones de liquidez en criptomonedas. Luego se instruye a la víctima para que use Obsidian y acceda a lo que parece ser un panel compartido, conectándose a un vault alojado en la nube usando las credenciales proporcionadas.
Es este vault el que desencadena la secuencia de infección. Tan pronto como se abre el vault en la aplicación de notas, se pide a la víctima que active la sincronización de "complementos de comunidad instalados", lo que efectivamente ejecuta código malicioso.
"Los actores de amenazas abusan del ecosistema legítimo de complementos de la comunidad de Obsidian, específicamente los complementos Shell Commands y Hider, para ejecutar código silenciosamente cuando una víctima abre un vault compartido en la nube", dijeron los investigadores Salim Bitam, Samir Bousseaden y Daniel Stepanic en un desglose técnico de la campaña.
Dado que la opción está deshabilitada por defecto y no puede activarse de forma remota, el atacante debe convencer a la víctima para que active manualmente la sincronización de complementos de la comunidad en su dispositivo, de modo que la configuración maliciosa del vault pueda desencadenar la ejecución de comandos a través del complemento Shell Commands. También se utiliza junto con Shell Commands otro complemento llamado Hider para ocultar ciertos elementos de la interfaz de usuario de Obsidian, como la barra de estado, la barra de desplazamiento, los tooltips y otros.
"Aunque este ataque requiere ingeniería social para cruzar el límite de sincronización de complementos de la comunidad, la técnica sigue siendo notable: abusa de una función legítima de la aplicación como canal de persistencia y ejecución de comandos, la carga útil reside completamente dentro de archivos de configuración JSON que difícilmente activarán firmas antivirus tradicionales, y la ejecución es delegada por una aplicación Electron firmada y de confianza, lo que convierte la detección basada en procesos padre en la capa crítica", señalaron los investigadores.
Se activan rutas de ejecución dedicadas según el sistema operativo. En Windows, los comandos se utilizan para invocar un script de PowerShell que descarga un cargador intermedio denominado PHANTOMPULL, el cual descifra y lanza PHANTOMPULSE en memoria.
PHANTOMPULSE es una puerta trasera generada por inteligencia artificial que utiliza la blockchain de Ethereum para resolver su servidor de comando y control (C2), obteniendo la última transacción asociada con una dirección de billetera hardcodeada. Una vez obtenida la dirección C2, el malware usa WinHTTP para las comunicaciones, lo que le permite enviar datos de telemetría del sistema, obtener comandos y transmitir los resultados de ejecución, subir archivos o capturas de pantalla y capturar pulsaciones de teclado.
- inject: inyectar shellcode/DLL/EXE en un proceso objetivo
- drop: soltar un archivo en disco y ejecutarlo
- screenshot: capturar y subir una captura de pantalla
- keylog: iniciar/detener un keylogger
- uninstall: iniciar la eliminación de persistencia y realizar limpieza
- elevate: escalar privilegios a SYSTEM mediante el moniker de elevación COM
- downgrade: transicionar de SYSTEM a administrador elevado
En macOS, el complemento Shell Commands entrega un dropper de AppleScript ofuscado que itera sobre una lista de dominios hardcodeada, empleando Telegram como resolvedor de dead drop para la resolución de C2 de respaldo. Este enfoque también ofrece flexibilidad adicional, ya que permite rotar fácilmente la infraestructura C2, volviendo insuficiente el bloqueo basado en dominios.
En el paso final, el script dropper contacta al dominio C2 para descargar y ejecutar una carga útil de segunda etapa mediante osascript. La naturaleza exacta de esta carga útil sigue siendo desconocida, dado que los servidores C2 están actualmente fuera de línea. La intrusión no tuvo éxito, ya que el ataque fue detectado y bloqueado antes de que los adversarios pudieran lograr sus objetivos en la máquina infectada.
"REF6598 demuestra cómo los actores de amenazas continúan encontrando vectores de acceso inicial creativos abusando de aplicaciones de confianza y empleando ingeniería social dirigida", dijo Elastic. "Al abusar del ecosistema de complementos de la comunidad de Obsidian en lugar de explotar una vulnerabilidad de software, los atacantes eluden por completo los controles de seguridad tradicionales, confiando en la funcionalidad prevista de la aplicación para ejecutar código arbitrario".
Actualización
En un análisis complementario publicado el 22 de mayo de 2026, Elastic dijo que PHANTOMPULSE implementa tres técnicas de inyección, con el comando "inject" enviando shellcode a PhantomInject, DLL a ManualMap y EXE a DbgNexum, todas adaptadas de código de prueba de concepto (PoC) legítimo.
"El resolvedor C2 basado en blockchain no tiene verificación del remitente, lo que permite a un defensor sobrescribir la URL C2 para cada implante publicando una sola transacción", dijo Elastic.
"PHANTOMPULSE deshabilita AMSI, la verificación de confianza de código de la Política de Bloqueo de Windows y la telemetría de ETW a través de una primitiva compartida: un punto de interrupción de hardware colocado en cada entrada de API, interceptado por un manejador de excepción vectorizado que falsifica el valor de retorno sin parcheo en línea".
