tradingkey.logo
tradingkey.logo
Buscar

Los piratas informáticos estatales de Corea del Norte utilizan reuniones falsas de Zoom para atacar a empresas de criptomonedas

Cryptopolitan11 de feb de 2026 11:41
facebooktwitterlinkedin
Ver todos los comentarios0

Los piratas informáticos estatales de Corea del Norte están apuntando a empresas de criptomonedas con varias piezas únicas de malware implementadas junto con múltiples estafas, incluidas reuniones falsas de Zoom. 

Se ha observado que el actor de amenazas vinculado a Corea del Norte conocido como UNC1069 apunta al sector de las criptomonedas para robar datos confidenciales de los sistemas Windows y macOS con el objetivo final de facilitar el robo financiero.

Se evaluó que UNC1069 estuvo activo desde abril de 2018. Tiene antecedentes de ejecutar campañas de ingeniería social para obtener ganancias financieras utilizando invitaciones a reuniones falsas y haciéndose pasar por inversores de empresas confiables. 

Una llamada falsa de Zoom despliega un ataque de malware contra una empresa de criptomonedas

En su último informe, los investigadores de Google Mandiant detallaron su investigación sobre una intrusión dirigida a una empresa de tecnología financiera del sector de las criptomonedas. Según los investigadores, la intrusión comenzó con una cuenta de Telegram comprometida perteneciente a un ejecutivo del sector. 

Los atacantes usaron el perfil pirateado para contactar con la víctima. Poco a poco, fueron generando confianza antes de enviarle una invitación de Calendly para una videollamada. El enlace de la reunión redirigía al objetivo a un dominio falso de Zoom alojado en la infraestructura bajo el control de los atacantes.

Durante la llamada, la víctima informó haber visto lo que parecía ser un video deepfake de un director ejecutivo de otra empresa de criptomonedas.

“Si bien Mandiant no pudo recuperar evidencia forense para dent dent informado públicamente anteriormente afirmó el informe .

Los piratas informáticos estatales de Corea del Norte recurren a llamadas de Zoom deepfake para hackear empresas de criptomonedas
Cadena de ataque. Fuente: Google Cloud

Los atacantes simularon problemas de audio en la reunión para justificar el siguiente paso. Instruyeron a la víctima a ejecutar comandos de solución de problemas en su dispositivo. Estos comandos, adaptados tanto para sistemas macOS como Windows, iniciaron en secreto la cadena de infección. Como resultado, se activaron varios componentes de malware.

Mandiant identsiete tipos distintos de malware utilizados durante el ataque. Las herramientas fueron diseñadas para acceder a la cadena de claves y robar contraseñas, recuperar cookies del navegador e información de inicio de sesión, acceder a información de sesión de Telegram y obtener otros archivos privados.

Los investigadores determinaron que el objetivo era doble: permitir el robo de criptomonedas y recopilar datos que pudieran respaldar futuros ataques de ingeniería social. La investigación reveló un volumen inusualmente grande de herramientas instaladas en un solo host. 

Los grupos de estafas vinculados a la IA muestran una mayor eficiencia operativa

Eldent forma parte de un patrón más amplio. Agentes vinculados a Corea del Norte desviaron más de 300 millones de dólares haciéndose pasar por figuras de confianza de la industria durante reuniones fraudulentas por Zoom y Microsoft Teams.

La magnitud de la actividad a lo largo del año fue aún más impactante. Según Cryptopolitan , los grupos de amenazas norcoreanos fueron responsables del robo de 2.020 millones de dólares en activos digitales en 2025, un aumento del 51 % con respecto al año anterior Cryptopolitan

Chainalysis también reveló que los clústeres de estafas vinculados a proveedores de servicios de IA muestran una mayor eficiencia operativa que aquellos sin dichos vínculos. Según la firma, esta tendencia sugiere un futuro en el que la IA se convertirá en un componente estándar de la mayoría de las operaciones de estafa.

En un informe publicado en noviembre pasado, el Grupo de Inteligencia de Amenazas de Google (GTIG) señaló el uso de herramientas de inteligencia artificial (IA) generativa por parte del atacante, como Gemini. Las utilizan para generar materiales de señuelo y otros mensajes relacionados con las criptomonedas como parte de sus esfuerzos para respaldar sus campañas de ingeniería social.

Desde al menos 2023, el grupo ha pasado de las técnicas de phishing y las finanzas tradicionales (TradFi) a la industria Web3, como los intercambios centralizados (CEX), los desarrolladores de software en instituciones financieras, las empresas de alta tecnología y los individuos en fondos de capital de riesgo.

Google.

También se ha observado que el grupo intenta usar indebidamente Gemini para desarrollar código que permite robar criptoactivos. Además, utilizan imágenes deepfake y vídeos engañosos que imitan a personas del sector cripto en sus campañas para distribuir una puerta trasera llamada BIGMACHO a las víctimas, haciéndola pasar por un kit de desarrollo de software (SDK) de Zoom.

¿Quieres que tu proyecto esté presente en las mentes más brillantes del mundo de las criptomonedas? Preséntalo en nuestro próximo informe del sector, donde los datos se combinan con el impacto.

Descargo de responsabilidad: La información proporcionada en este sitio web es solo para fines educativos e informativos, y no debe considerarse como asesoramiento financiero o de inversión.

Comentarios (0)

Haga clic en el botón $, introduzca el símbolo y seleccione si desea vincular una acción, un ETF o otro valor.

0/500
Normas para comentar
Cargando...

Artículos Recomendados

tradingkey.logo
* Las referencias, los análisis y las estrategias de trading son proporcionados por un proveedor externo, Trading Central, y el punto de vista se basa en la evaluación y el juicio independientes del analista, sin considerar los objetivos de inversión ni la situación financiera de los inversores.
Advertencia de Riesgo: Nuestro sitio web y aplicación móvil solo proporcionan información general sobre ciertos productos de inversión. Finsights no proporciona, y la provisión de dicha información no debe interpretarse como que Finsights proporciona, asesoramiento financiero o recomendación para cualquier producto de inversión.
Los productos de inversión están sujetos a riesgos de inversión significativos, incluida la posible pérdida del monto principal invertido y pueden no ser adecuados para todos. El rendimiento pasado de los productos de inversión no es indicativo de su rendimiento futuro.
Finsights puede permitir que anunciantes o afiliados de terceros coloquen o entreguen anuncios en nuestro sitio web o aplicación móvil o en cualquier parte de los mismos y puede ser compensado por ellos en función de su interacción con los anuncios.
© Derechos de autor: FINSIGHTS MEDIA PTE. LTD. Todos los derechos reservados.