El actor de amenazas vinculado a Corea del Norte, conocido como UNC1069, ha sido observado atacando al sector de las criptomonedas para robar datos confidenciales de sistemas Windows y macOS con el objetivo final de facilitar el robo financiero.
La intrusión se basó en un esquema de ingeniería social que involucraba una cuenta de Telegram comprometida, una reunión falsa de Zoom, un vector de infección ClickFix y el uso reportado de video generado por IA para engañar a la víctima.
Se evalúa que UNC1069 ha estado activo desde al menos abril de 2018 y tiene un historial de realizar campañas de ingeniería social con fines financieros, utilizando invitaciones falsas a reuniones y haciéndose pasar por inversores de empresas reputadas en Telegram. También es rastreado por la comunidad de ciberseguridad en general bajo los nombres CryptoCore y MASAN.
En un informe publicado en noviembre pasado, el Grupo de Inteligencia de Amenazas de Google (GTIG) señaló el uso de herramientas de inteligencia artificial generativa (IA) como Gemini por parte del actor de amenazas para producir material de señuelo y otros mensajes relacionados con criptomonedas como parte de sus esfuerzos para apoyar sus campañas de ingeniería social.
El grupo también ha sido observado intentando usar Gemini para desarrollar código para robar criptomonedas, así como aprovechar imágenes deepfake y señuelos de video que imitan a personas de la industria de las criptomonedas en sus campañas para distribuir un backdoor llamado BIGMACHO haciéndolo pasar por un kit de desarrollo de software (SDK) de Zoom.
Desde al menos 2023, el grupo ha pasado de técnicas de spear-phishing y objetivos de finanzas tradicionales (TradFi) hacia la industria Web3, como exchanges centralizados (CEX), desarrolladores de software en instituciones financieras, empresas de alta tecnología e individuos en fondos de capital de riesgo, dijo Google.
En la última intrusión documentada por la división de inteligencia de amenazas del gigante tecnológico, se dice que UNC1069 desplegó hasta siete familias de malware únicas, incluyendo varias nuevas, como SILENCELIFT, DEEPBREATH y CHROMEPUSH.
Todo comienza cuando un actor de amenazas se acerca a la víctima a través de Telegram haciéndose pasar por capitalistas de riesgo y, en algunos casos, incluso utilizando cuentas comprometidas de empresarios legítimos y fundadores de startups. Una vez establecido el contacto, el actor de amenazas utiliza Calendly para programar una reunión de 30 minutos con ellos.
El enlace de la reunión está diseñado para redirigir a la víctima a un sitio web falso que se hace pasar por Zoom ("zoom.uswe05[.]us"). En ciertos casos, los enlaces de reunión se comparten directamente a través de mensajes en Telegram, a menudo utilizando la función de hipervínculo de Telegram para ocultar las URLs de phishing.
Independientemente del método utilizado, tan pronto como la víctima hace clic en el enlace, se le presenta una interfaz de videollamada falsa que refleja Zoom, instándola a activar su cámara e ingresar su nombre. Una vez que el objetivo se une a la reunión, se le muestra una pantalla que se asemeja a una reunión real de Zoom.
Sin embargo, se sospecha que los videos son deepfakes o grabaciones reales capturadas sigilosamente de otras víctimas que habían caído previamente en el mismo esquema. Vale la pena señalar que Kaspersky rastrea la misma campaña bajo el nombre GhostCall, que fue documentada en detalle en octubre de 2025.
Su metraje de cámara web había sido grabado sin su conocimiento, luego subido a infraestructura controlada por los atacantes y reutilizado para engañar a otras víctimas, haciéndoles creer que estaban participando en una llamada en vivo genuina.
El ataque pasa a la siguiente fase cuando a la víctima se le muestra un mensaje de error falso sobre un supuesto problema de audio, después de lo cual se le pide que descargue y ejecute un comando de solución de problemas estilo ClickFix para abordar el problema. En el caso de macOS, los comandos llevan a la entrega de un AppleScript que, a su vez, deja caer un binario Mach-O malicioso en el sistema.
Llamado WAVESHAPER, el ejecutable malicioso en C++ está diseñado para recopilar información del sistema y distribuir un descargador basado en Go con el nombre clave HYPERCALL, que luego se utiliza para servir cargas útiles adicionales:
- Un componente backdoor en Golang conocido como HIDDENCALL, que proporciona acceso directo al teclado al sistema comprometido y despliega un minero de datos basado en Swift llamado DEEPBREATH.
- Un segundo descargador en C++ llamado SUGARLOADER, que se utiliza para desplegar CHROMEPUSH.
- Un backdoor minimalista en C/C++ conocido como SILENCELIFT, que envía información del sistema a un servidor de comando y control (C2).
DEEPBREATH está equipado para manipular la base de datos de Transparencia, Consentimiento y Control (TCC) de macOS para obtener acceso al sistema de archivos, lo que le permite robar credenciales de llavero de iCloud y datos de Google Chrome, Brave, Microsoft Edge, Telegram y la aplicación Apple Notes.
Al igual que DEEPBREATH, CHROMEPUSH también actúa como un ladrón de datos, solo que está escrito en C++ y se despliega como una extensión del navegador para Google Chrome y Brave haciéndose pasar por una herramienta para editar Google Docs sin conexión. También tiene la capacidad de registrar pulsaciones de teclas, observar entradas de nombre de usuario y contraseña, y extraer cookies del navegador.
El volumen de herramientas desplegadas en un solo host indica un esfuerzo altamente determinado para cosechar credenciales, datos del navegador y tokens de sesión para facilitar el robo financiero. Mientras que UNC1069 típicamente apunta a startups de criptomonedas, desarrolladores de software y firmas de capital de riesgo, el despliegue de múltiples familias de malware nuevas junto con el descargador conocido SUGARLOADER marca una expansión significativa en sus capacidades.
