¿Quién está detrás de los ataques con deepfake contra empresas cripto?

Investigadores de Google Mandiant atribuyen la campaña al grupo UNC1069, vinculado a Corea del Norte y activo desde 2018. El grupo ha evolucionado sus técnicas y actualmente apunta al sector criptomonedas con ataques altamente dirigidos.

¿Cómo utilizan deepfakes en estos ataques?

Los atacantes muestran videos deepfake de ejecutivos del sector cripto durante falsas reuniones en Zoom. Simulan problemas técnicos y convencen a la víctima de ejecutar comandos maliciosos que inician la infección del sistema.

¿Qué es la técnica ClickFix en este contexto?

ClickFix es una técnica de ingeniería social en la que se persuade a la víctima para ejecutar comandos bajo el pretexto de solucionar un problema técnico. En esta campaña, se utiliza para desplegar malware en macOS y Windows.

¿Qué familias de malware fueron utilizadas contra macOS?

Se identificaron siete familias principales: WAVESHAPER, HYPERCALL, HIDDENCALL, SILENCELIFT, DEEPBREATH, SUGARLOADER y CHROMEPUSH. Incluyen backdoors, downloaders y stealers capaces de robar credenciales, criptomonedas y datos sensibles.

¿Qué tipo de información roba este malware?

El malware puede robar credenciales del Keychain de macOS, cookies y contraseñas de navegadores, datos de Telegram y Apple Notes, información del sistema, claves de wallets de criptomonedas y códigos de autenticación.

¿Por qué este ataque es considerado inusualmente agresivo?

Mandiant destaca el volumen de malware desplegado contra un solo individuo. La operación combinó múltiples herramientas personalizadas, lo que indica un ataque altamente dirigido con fines de robo financiero y recopilación estratégica de datos.

¿Es macOS un objetivo frecuente en ataques al sector cripto?

Sí. Este caso demuestra que macOS es un objetivo prioritario en el sector criptomonedas. Los atacantes explotan debilidades en el sistema de privacidad TCC y se apoyan en la confianza del usuario para ejecutar código malicioso.

¿Cómo pueden protegerse las empresas cripto frente a estos ataques?

Se recomienda no ejecutar comandos proporcionados en reuniones online, verificar identidades por canales secundarios, restringir la ejecución de AppleScript, monitorizar la creación de launch daemons, implementar soluciones EDR con análisis de comportamiento y revisar modificaciones en la base de datos TCC.

¿Qué relación tiene UNC1069 con BlueNoroff?

Las tácticas observadas recuerdan campañas atribuidas a BlueNoroff (también conocido como Sapphire Sleet o TA44), otro grupo vinculado a Corea del Norte. Ambos comparten el enfoque en el sector cripto y el uso de ingeniería social avanzada.

Hackers norcoreanos usan Deepfakes y 7 Malwares en macOS para robar Criptomonedas | Noticias Hacking y Seguridad Informática

Los hackers vinculados a Corea del Norte han lanzado campañas altamente dirigidas contra empresas del sector criptomonedas utilizando videos deepfake generados por IA y la técnica ClickFix para distribuir malware avanzado en macOS y Windows.

El objetivo es claro: robo financiero y recopilación masiva de datos estratégicos.

Investigadores de Google Mandiant atribuyen la operación al grupo UNC1069, activo desde 2018 y conocido por su evolución constante en técnicas y herramientas.

¿Cómo funciona la cadena de infección?

El ataque combina ingeniería social sofisticada con múltiples familias de malware.

Saber Más..

1. Contacto inicial vía Telegram

La víctima fue contactada desde la cuenta comprometida de un ejecutivo de una empresa cripto.

Tras generar confianza, los atacantes enviaron un enlace de Calendly que redirigía a una página falsa de Zoom alojada en infraestructura controlada por los atacantes.

2. Deepfake y engaño técnico

Durante la supuesta reunión:

Se mostró un video deepfake de un CEO del sector cripto
Se simuló un problema de audio
Se pidió a la víctima ejecutar comandos para “solucionar” el fallo

Esos comandos iniciaban la cadena de infección tanto en macOS como en Windows.

Este método recuerda campañas documentadas en 2025 atribuidas al grupo norcoreano BlueNoroff (Sapphire Sleet / TA44), también centradas en macOS.

Las 7 familias de malware usadas contra macOS

Una vez ejecutados los comandos, la cadena de infección activó AppleScript y desplegó un binario Mach-O malicioso.

A partir de ahí, se ejecutaron siete familias distintas de malware:

1. WAVESHAPER

Backdoor en C++ que:

Se ejecuta como daemon en segundo plano
Recopila información del sistema
Se comunica vía HTTP/HTTPS con C2 usando curl
Descarga y ejecuta payloads adicionales

2. HYPERCALL

Downloader en Golang que:

Lee configuración cifrada con RC4
Se conecta al C2 mediante WebSockets sobre TCP 443
Descarga librerías maliciosas
Las inyecta reflectivamente en memoria

3. HIDDENCALL

Backdoor en Golang inyectado por HYPERCALL que permite:

Acceso interactivo tipo “hands-on-keyboard”
Ejecución de comandos
Operaciones sobre archivos
Despliegue de más malware

4. SILENCELIFT

Backdoor minimalista en C/C++ que:

Envía información del host y estado de pantalla bloqueada
Puede interrumpir comunicaciones de Telegram con privilegios root

5. DEEPBREATH

Stealer desarrollado en Swift que:

Modifica la base de datos TCC de macOS
Elude protecciones de privacidad
Roba credenciales del Keychain
Extrae datos de navegadores
Accede a Telegram y Apple Notes

6. SUGARLOADER

Downloader en C++ que:

Usa configuración cifrada con RC4
Recupera payloads adicionales
Mantiene persistencia mediante launch daemon manual

7. CHROMEPUSH

Stealer para navegadores que:

Se instala como host de mensajería nativa Chromium
Se hace pasar por extensión Google Docs Offline
Roba credenciales, cookies y pulsaciones
Puede capturar capturas de pantalla

Un ataque inusualmente agresivo

Mandiant destaca algo poco habitual: el volumen de malware desplegado contra un único individuo.

Esto confirma que no se trata de un ataque oportunista, sino de una operación quirúrgica con dos objetivos claros:

Robo de criptomonedas
Recolección de datos para futuras campañas de ingeniería social

Evolución de UNC1069

Desde 2018, el grupo ha demostrado gran capacidad de adaptación:

2023: Enfoque en Web3 (exchanges, desarrolladores, fondos VC)
2024: Servicios financieros y sector cripto
2025-2026: Infraestructura de pagos, brokerage y wallets

Además, varias herramientas detectadas (SILENCELIFT, DEEPBREATH y CHROMEPUSH) son completamente nuevas en su arsenal.

Detección y evasión

En plataformas como VirusTotal:

SUGARLOADER es la muestra más detectada
WAVESHAPER apenas es identificado por dos motores
El resto no aparece en bases de datos públicas

Esto indica un uso extensivo de malware personalizado y baja reutilización de muestras, lo que complica la detección basada en firmas.

¿Por qué macOS ya no es un entorno “seguro por defecto”?

Este caso demuestra que:

macOS es objetivo prioritario en el sector cripto
Los atacantes usan desarrollo multiplataforma (Swift, Golang, C++)
Se explotan debilidades en TCC y en la confianza del usuario

La combinación de deepfake + ingeniería social + malware modular representa un salto cualitativo en ataques dirigidos al ecosistema cripto.

¿Cómo protegerse frente a este tipo de ataques?

Especialmente relevante para:

Exchanges
Fondos de inversión cripto
Desarrolladores Web3
Infraestructura de wallets

Medidas recomendadas:

Nunca ejecutar comandos proporcionados en reuniones online
Verificar identidad por canales secundarios
Restringir ejecución de AppleScript
Monitorizar creación de launch daemons
Implementar EDR con análisis de comportamiento
Revisar modificaciones en la base de datos TCC