Un grupo vinculado a Corea del Norte, conocido en la comunidad de ciberseguridad como UNC1069 —también rastreado bajo los nombres CryptoCore y MASAN— ha intensificado sus esfuerzos contra el ecosistema de las criptomonedas usando tácticas muy sofisticadas de ingeniería social combinadas con herramientas modernas como la inteligencia artificial generativa. Según el equipo de inteligencia de amenazas de Google y Mandiant, estas operaciones no buscan solo un acceso puntual: están diseñadas para obtener credenciales, tokens de sesión y material que permitan el desvío de fondos digitales de manera directa o indirecta. La preocupación es doble: por un lado la precisión de los señuelos y por otro la variedad de cargas maliciosas que pueden caer sobre una máquina comprometida. Para el informe de Google/Mandiant vea la nota técnica en el blog de Google Cloud: UNC1069 targets cryptocurrency, AI-enabled social engineering.
El modus operandi que describen los analistas comienza con un contacto por Telegram. Los atacantes, a veces usando cuentas legítimas comprometidas, se hacen pasar por inversores o fundadores y proponen una reunión. Para cerrar la cita recurren a herramientas legítimas como Calendly; la invitación contiene un enlace que redirige a una página que imita a Zoom. Ese enlace no lleva a una reunión segura, sino a una web tramposa que reproduce una interfaz de videollamada y, en muchos casos, muestra un vídeo que aparenta ser el interlocutor. En investigaciones previas se ha documentado el uso de material audiovisual generado por IA o de grabaciones reutilizadas para reforzar la ilusión de una sesión en vivo.
Cuando la víctima “entra” en esa sala falsa, se le solicita encender la cámara y confirmar su identidad. Luego aparece un pretexto técnico —un supuesto fallo de audio— y un asistente en la página ofrece una solución rápida: ejecutar un comando o un instalador para arreglar el problema. Ese paso es la trampa que despliega el malware. En macOS el vector conduce a un AppleScript que descarga un binario Mach-O; en Windows el flujo vira hacia ejecutables y descargadores que sirven como puerta de entrada a una cadena completa de herramientas maliciosas.
Los investigadores de Mandiant detectaron hasta siete familias distintas de malware en una sola intrusión, muchas de ellas nuevas en el repertorio del grupo. Con nombres como WAVESHAPER, HYPERCALL, HIDDENCALL, DEEPBREATH, SUGARLOADER, CHROMEPUSH y SILENCELIFT, la infraestructura combina descargadores escritos en C++ y Go, backdoors que permiten control remoto y componentes específicos para macOS y extensiones de navegador. El esquema es claro: primero se instala un descargador, luego se articulan backdoors que permiten acceso directo y finalmente se ejecutan módulos diseñados para exfiltrar credenciales y datos sensibles.
En particular, DEEPBREATH destaca por su capacidad para manipular la base de datos de permisos de macOS (TCC) con el fin de acceder a elementos protegidos como el llavero de iCloud, así como datos de navegadores (cookies, contraseñas) y aplicaciones como Telegram o Notas de Apple. CHROMEPUSH, por su parte, actúa como una extensión maliciosa que se instala en navegadores como Chrome y Brave fingiendo ser un editor offline de Google Docs; su función incluye registro de teclas, captura de entradas de usuario y robo de cookies para secuestrar sesiones. Es decir: la combinación de estos componentes facilita tanto el robo directo de claves privadas o credenciales como el secuestro de sesiones para mover activos digitales.
Una de las razones por las que estos ataques han llamado tanto la atención es el empleo de técnicas de ingeniería social potenciadas por IA. Google ha señalado el uso de modelos generativos —como los que ofrece su propia plataforma— para crear mensajes de aproximación, reproducir voces o rostros creíbles, y hasta para intentar escribir código capaz de extraer activos. Ese aprovechamiento de la IA reduce el coste y aumenta la escala de los señuelos, lo que convierte a ejecutivos, desarrolladores y equipos de seguridad en objetivos aún más vulnerables. Para quien quiera profundizar sobre cómo los actores estatales están incorporando herramientas modernas, el archivo de Mandiant ofrece recursos y reportes adicionales: Recursos de Mandiant.
El impacto potencial es especialmente peligroso para empresas y profesionales del mundo cripto. Un único navegador comprometido o una cookie de sesión robada puede permitir a un atacante acceder a plataformas de intercambio centralizado (CEX), a interfaces de administración de carteras o a cuentas de servicios que guardan claves de acceso. Además, la práctica de reutilizar grabaciones de víctimas anteriores —documentada por distintos proveedores como método de engaño— añade una capa psicológica potente: ver “un rostro conocido” o escuchar “la voz de alguien real” reduce la sospecha y aumenta la confianza de quienes reciben la invitación. Kaspersky y otros proveedores han reportado campañas con este estilo en las que el replay de vídeo sirvió exactamente para convencer a más víctimas; más información en los canales especializados como el blog de Kaspersky: Kaspersky Security Blog.
¿Qué pueden hacer las empresas y los profesionales para mitigar el riesgo? En primer lugar, verificar la procedencia de cualquier invitación a reunión, sobre todo si viene por canales como Telegram o si incluye redirecciones aparentes a servicios terceros. No ejecutar comandos que provengan de una página web dudosa ni instalar herramientas sin comprobar la firma y el origen. En macOS conviene revisar periódicamente los permisos TCC, limitar el acceso al llavero y usar contraseñas y autenticación en dos factores robusta; en el mundo cripto se recomienda separar los dispositivos que almacenan claves de aquellos que se usan para comunicación y navegación, y priorizar llaves físicas para 2FA cuando sea posible. Herramientas de detección en endpoints y telemetría en la red que identifiquen comportamientos anómalos —descargas inusuales, conexiones salientes a servidores C2, instalación de extensiones no autorizadas— son otra barrera importante. Para pautas generales sobre medidas defensivas y cómo responder ante intrusiones, las agencias de ciberseguridad públicas ofrecen guías útiles, inicio en la web del CISA: CISA.
Más allá de la acción inmediata, estos casos subrayan una tendencia mayor: la industria de la seguridad ya no corre solo detrás de exploits técnicos; los adversarios combinan ingeniería psicológica, plataformas legítimas y automatización por IA para crear ataques altamente creíbles. La respuesta exige no solo parches y detección, sino educación continua, controles de identidad estrictos y un enfoque de seguridad por capas que reduzca la superficie de ataque en entornos financieros y de desarrollo.
Si trabajas en una startup cripto, en una firma de capital riesgo o en equipos de desarrollo que interactúan con activos digitales, conviene tomar esta alerta como recordatorio: valida invitaciones, desconfía de atajos que pidan ejecutar herramientas externas y separa tus activos críticos en dispositivos y procesos que no usas para tareas cotidianas. La amenaza es real y evoluciona con rapidez; mantenerse informado y aplicar controles básicos puede marcar la diferencia entre evitar una intrusión y sufrir un robo de activos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...