Miércoles, 29 de octubre de 2025 – 11:29 WIB
Jacarta – El Equipo de Análisis e Investigación Global de Kaspersky (GREAT) descubrió la última actividad APT de Blunoroff a través de dos campañas maliciosas altamente dirigidas, ‘GhostCall’ y ‘GhostHire’.
Lea también:
¡No lo ignores! Estos son los beneficios del cifrado de dispositivos que debes conocer
Esta operación en curso se ha dirigido a entidades Web3 y criptoactivos en India, Turquía, Australia y otros países de Europa y Asia desde al menos abril de 2025.
BlueNoroff, una subdivisión del infame grupo Lazarus, continúa expandiendo su campaña insignia ‘SnatchCrypto’, una operación con motivación financiera dirigida a la industria de criptoactivos en todo el mundo.
Lea también:
Cómo habilitar las estimaciones de tiempo de batería en la última computadora portátil con Windows
Estas campañas GhostCall y GhostHire recientemente descritas utilizan novedosas técnicas de intrusión y malware personalizado para comprometer a los desarrolladores y ejecutivos de blockchain.
Este ciberataque afectó a los sistemas MacOS y Windows como objetivos principales y se llevó a cabo a través de una infraestructura de comando y control unificada.
Lea también:
Este dispositivo es requisito obligatorio para convertirse en empleado de Indodax
La campaña GhostCall comenzó con un ataque de ingeniería social altamente sofisticado y personalizado, dirigido a dispositivos macOS.
Los atacantes se pusieron en contacto a través de Telegram, haciéndose pasar por capitalistas de riesgo y, en algunos casos, utilizaron cuentas pirateadas de empresarios reales y fundadores de startups para promover oportunidades de inversión o asociación.
Se invita a las víctimas a reuniones de inversión falsas en sitios de phishing que imitan a Zoom o Microsoft Teams.
Durante la reunión, le pidieron a su cliente que “actualizara” para solucionar el problema de audio. Esta acción descarga scripts maliciosos y propaga infecciones de malware al dispositivo.
“Esta campaña se basó en un engaño deliberado y cuidadosamente planeado. El atacante reprodujo videos de víctimas anteriores para que las interacciones parecieran llamadas reales durante reuniones manipuladas y manipuló nuevos objetivos. Los datos recopilados en este proceso no solo se usaron en la primera víctima, sino que también se usaron para lanzar más ataques y brindar a los usuarios relaciones más confiables. Ryu, GRAN investigador de seguridad de Kaspersky.
Los atacantes implementaron siete cadenas de ejecución de múltiples etapas para entregar varias cargas útiles, incluidos ladrones de criptomonedas, ladrones de credenciales de navegador, registradores de pulsaciones de teclas y ladrones de credenciales de Telegram.
En la campaña GhostHire, la APT se dirige a los desarrolladores de blockchain haciéndose pasar por reclutadores. Se engaña a las víctimas para que descarguen y ejecuten repositorios de GitHub que contienen el malware.
Página siguiente
GhostHire comparte su infraestructura y herramientas con las campañas de GhostCall, pero en lugar de utilizar videollamadas, GhostHire se centra en un acercamiento directo a los desarrolladores e ingenieros a través de la contratación virtual.
