Se ha observado que los actores de amenazas vinculados a Corea del Norte se dirigen a los sectores Web3 y blockchain como parte de campañas gemelas rastreadas como GhostCall y GhostHire.
Según Kaspersky, las campañas son parte de una operación más amplia llamada SnatchCrypto que ha estado en marcha desde al menos 2017. La actividad se atribuye a un subgrupo del Grupo Lázaro llamado BlueNoroff, que también se conoce como APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (anteriormente Copernicium) y Stardust Chollima.
Las víctimas de la campaña GhostCall abarcan varios hosts macOS infectados ubicados en Japón, Italia, Francia, Singapur, Turquía, España, Suecia, India y Hong Kong, mientras que Japón y Australia han sido identificados como los principales cotos de caza para la campaña GhostHire.
«GhostCall se dirige en gran medida a los dispositivos macOS de los ejecutivos de las empresas de tecnología y en el sector de capital de riesgo al acercarse directamente a los objetivos a través de plataformas como Telegram e invitar a las víctimas potenciales a reuniones relacionadas con la inversión vinculadas a sitios web de phishing similares a Zoom», dijeron los investigadores de Kaspersky Sojun Ryu y Omar Amin.
«La víctima se uniría a una llamada falsa con grabaciones genuinas de las otras víctimas reales de esta amenaza en lugar de deepfakes. La llamada se realiza sin problemas y luego alienta al usuario a actualizar el cliente de Zoom con un script. Eventualmente, el script descarga archivos ZIP que dan como resultado cadenas de infección implementadas en un host infectado».
Por otro lado, GhostHire implica acercarse a posibles objetivos, como los desarrolladores de Web3, en Telegram y atraerlos para que descarguen y ejecuten un repositorio de GitHub con trampas explosivas con el pretexto de completar una evaluación de habilidades dentro de los 30 minutos posteriores a compartir el enlace, para garantizar una mayor tasa de éxito de infección.
Una vez instalado, el proyecto está diseñado para descargar una carga útil maliciosa en el sistema del desarrollador en función del sistema operativo utilizado. La compañía rusa de ciberseguridad dijo que ha estado vigilando las dos campañas desde abril de 2025, aunque se estima que GhostCall ha estado activo desde mediados de 2023, probablemente después de la campaña RustBucket.
RustBucket marcó el principal giro del colectivo adversario para apuntar a los sistemas macOS, después de lo cual otras campañas han aprovechado familias de malware como KANDYKORN, ObjCShellz y TodoSwift.
Vale la pena señalar que varios aspectos de la actividad han sido documentados ampliamente durante el año pasado por múltiples proveedores de seguridad, incluidos Microsoft, Huntress, Field Effect, Huntabil.IT, Validin y SentinelOne.
La campaña GhostCall
Los objetivos que aterrizan en las páginas falsas de Zoom como parte de la campaña GhostCall reciben inicialmente una página falsa que da la ilusión de una llamada en vivo, solo para mostrar un mensaje de error de tres a cinco segundos después, instándolos a descargar un kit de desarrollo de software (SDK) de Zoom para abordar un supuesto problema con la continuación de la llamada.
Si las víctimas caen en la trampa e intentan actualizar el SDK haciendo clic en la opción «Actualizar ahora», se descarga un archivo AppleScript malicioso en su sistema. En el caso de que la víctima esté usando una máquina con Windows, el ataque aprovecha la técnica ClickFix para copiar y ejecutar un comando de PowerShell.
![]() |
| Flujo de ataque de la campaña de GhostCall |
En cada etapa, cada interacción con el sitio falso se registra y se envía a los atacantes para rastrear las acciones de la víctima. Tan recientemente como el mes pasado, se observó que el actor de amenazas hacía la transición de Zoom a Microsoft Teams, utilizando la misma táctica de engañar a los usuarios para que descargaran un SDK de TeamsFx esta vez para desencadenar la cadena de infección.
Independientemente del señuelo utilizado, AppleScript está diseñado para instalar una aplicación falsa disfrazada de Zoom o Microsoft Teams. También descarga otro AppleScript denominado DownTroy que verifica las contraseñas almacenadas asociadas con las aplicaciones de administración de contraseñas e instala malware adicional con privilegios de root.
DownTroy, por su parte, está diseñado para soltar varias cargas útiles como parte de ocho cadenas de ataque distintas, al tiempo que elude el marco de transparencia, consentimiento y control (TCC) de Apple.
- ZoomClutch o TeamsClutch, que utiliza un implante basado en Swift que se hace pasar por Zoom o Teams mientras alberga una funcionalidad para solicitar al usuario que ingrese la contraseña de su sistema para completar la actualización de la aplicación y filtrar los detalles a un servidor externo
- DownTroy v1, que utiliza un cuentagotas basado en Go para lanzar el malware DownTroy basado en AppleScript que luego es responsable de descargar scripts adicionales desde el servidor hasta que se reinicia la máquina.
- CosmicDoor, que usa un cargador binario de C ++ llamado GillyInjector (también conocido como InjectWithDyld) para ejecutar una aplicación Mach-O benigna e inyectar una carga útil maliciosa en tiempo de ejecución. Cuando se ejecuta con el indicador –d, GillyInjector activa sus capacidades destructivas y borra irrevocablemente todos los archivos en el directorio actual. La carga útil inyectada es una puerta trasera escrita en Nim llamada CosmicDoor que puede comunicarse con un servidor externo para recibir y ejecutar comandos. Se cree que los atacantes desarrollaron primero una versión Go de CosmicDoor para Windows, antes de pasar a las variantes Rust, Python y Nim. También descarga una suite de robo de scripts bash llamada SilentSiphon.
- RooTroy, que utiliza el cargador Nimcore para lanzar GillyInjector, que luego inyecta una puerta trasera Go llamada RooTroy (también conocida como Root Troy V4) para recopilar información del dispositivo, enumerar los procesos en ejecución, leer la carga útil de un archivo específico y descargar malware adicional (contando RealTimeTroy) y ejecutarlos.
- RealTimeTroy, que utiliza el cargador Nimcore para iniciar GillyInjector, que luego inyecta una puerta trasera Go llamada RealTimeTroy que se comunica con un servidor externo utilizando el protocolo WSS para leer/escribir archivos, obtener información de directorios y procesos, cargar/descargar archivos, terminar un proceso específico y obtener información del dispositivo.
- SneakMain, que utiliza el cargador Nimcore para iniciar una carga útil Nim llamada SneakMain para recibir y ejecutar comandos AppleScript adicionales recibidos de un servidor externo.
- DownTroy v2, que utiliza un cuentagotas llamado CoreKitAgent para iniciar el cargador Nimcore, que luego inicia DownTroy basado en AppleScript (también conocido como NimDoor) para descargar un script malicioso adicional de un servidor externo.
- SysPhon, que utiliza una versión ligera de RustBucket llamada SysPhon y SUGARLOADER, un cargador conocido que anteriormente entregó el malware KANDYKORN. SysPhon, también empleado en la campaña Hidden Risk, es un descargador escrito en C++ que puede realizar un reconocimiento y obtener una carga útil binaria de un servidor externo.
![]() |
| Comportamiento general del sitio de phishing de Zoom |
SilentSiphon está equipado para recopilar datos de Apple Notes, Telegram, extensiones de navegadores web, así como credenciales de navegadores y administradores de contraseñas, y secretos almacenados en archivos de configuración relacionados con una larga lista de servicios: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, API de DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes y OpenAI.
«Si bien las transmisiones de video para llamadas falsas se grabaron a través de las páginas de phishing de Zoom fabricadas que creó el actor, las imágenes de perfil de los participantes de la reunión parecen haber sido obtenidas de plataformas de trabajo o plataformas de redes sociales como LinkedIn, Crunchbase o X», dijo Kaspersky. «Curiosamente, algunas de estas imágenes se mejoraron con [OpenAI] GPT-4o».
La campaña de GhostHire
La campaña GhostHire, agregó la compañía rusa de ciberseguridad, también se remonta a mediados de 2023, cuando los atacantes iniciaron el contacto con los objetivos directamente en Telegram, compartiendo detalles de una oferta de trabajo junto con un enlace a un perfil de LinkedIn que se hacía pasar por reclutadores de empresas financieras con sede en los EE. UU. en un intento de dar a las conversaciones un barniz de legitimidad.
«Siguiendo la comunicación inicial, el actor agrega el objetivo a una lista de usuarios para un bot de Telegram, que muestra el logotipo de la empresa suplantada y afirma falsamente que agiliza las evaluaciones técnicas para los candidatos», explicó Kaspersky.
![]() |
| Proceso de entrega de DownTroy en la campaña de GhostHire |
«Luego, el bot envía a la víctima un archivo comprimido (ZIP) que contiene un proyecto de evaluación de codificación, junto con un plazo estricto (a menudo alrededor de 30 minutos) para presionar al objetivo para que complete rápidamente la tarea. Esta urgencia aumenta la probabilidad de que el objetivo ejecute el contenido malicioso, lo que lleva a un compromiso inicial del sistema».
El proyecto en sí mismo es inocuo, pero incorpora una dependencia maliciosa en forma de un módulo Go malicioso alojado en GitHub (por ejemplo, uniroute), lo que hace que la secuencia de infección se active una vez que se ejecuta el proyecto. Esto incluye primero determinar el sistema operativo de la computadora de la víctima y entregar una carga útil adecuada de la siguiente etapa (es decir, DownTroy) programada en PowerShell (Windows), bash script (Linux) o AppleScript (macOS).
También se implementan a través de DownTroy en los ataques dirigidos a Windows RooTroy, RealTimeTroy, una versión Go de CosmicDoor y un cargador basado en Rust llamado Bof que se usa para decodificar y lanzar una carga útil de shellcode cifrada almacenada en la carpeta «C: \ Windows \ system32 \».
![]() |
| Cadena de infección general de Windows en la campaña de GhostHire |
«Nuestra investigación indica un esfuerzo sostenido por parte del actor para desarrollar malware dirigido a los sistemas Windows y macOS, orquestado a través de una infraestructura unificada de comando y control», dijo Kaspersky. «El uso de IA generativa ha acelerado significativamente este proceso, lo que permite un desarrollo de malware más eficiente con una sobrecarga operativa reducida».
«La estrategia de orientación del actor ha evolucionado más allá del simple robo de credenciales de criptomonedas y navegadores. Al obtener acceso, realizan una adquisición integral de datos en una variedad de activos, incluida la infraestructura, las herramientas de colaboración, las aplicaciones para tomar notas, los entornos de desarrollo y las plataformas de comunicación (mensajeros)».
Fuente: The Hacker News




