Investigadores de Kaspersky han documentado dos nuevas campañas atribuidas a BlueNoroff, subgrupo vinculado a Lazarus: GhostCall y GhostHire, activas desde abril de 2025. Las operaciones apuntan a compañías de criptomonedas y Web3 en India, Turquía, Australia y múltiples países de Europa y Asia. El foco técnico es la ecosistema macOS, combinando spear‑phishing, suplantación corporativa y cadenas de infección en múltiples etapas para robar activos digitales y credenciales.
BlueNoroff, Lazarus y la evolución de SnatchCrypto
BlueNoroff es ampliamente considerado un brazo de Lazarus y extiende la conocida campaña SnatchCrypto, históricamente dirigida a organizaciones de cripto, DeFi, contratos inteligentes, blockchain y fintech. Según Kaspersky, el grupo está desplazando su atención hacia la comprometida de desarrolladores y directivos de proyectos blockchain, empleando loaders especializados y malware modular. Este enfoque busca tanto exfiltrar activos como obtener persistencia en la infraestructura. El contexto lo respalda: análisis públicos de Chainalysis estiman que actores norcoreanos sustrajeron cerca de 1.000 millones de dólares en 2023, lo que explica la presión continuada sobre el sector cripto.
Vector inicial: Telegram y reuniones falsas en Zoom/Teams
Las campañas comienzan con spear‑phishing altamente selectivo en Telegram, donde los atacantes se hacen pasar por inversores de capital riesgo e incluso utilizan cuentas comprometidas de empresarios reales para aumentar la credibilidad. Las víctimas son invitadas a “reuniones de inversión” en clones de Zoom o Microsoft Teams. Durante el falso encuentro, se les insta a “actualizar el cliente” para resolver supuestos problemas de audio, una maniobra que ejecuta scripts y despliega la carga maliciosa.
Un elemento distintivo señalado por Kaspersky es el uso de videoclips de víctimas anteriores para simular un diálogo en tiempo real y elevar la tasa de éxito. La información recopilada se reutiliza para ataques en la cadena de suministro, extendiendo el alcance hacia socios y organizaciones relacionadas.
GhostCall vs GhostHire: infraestructura común, cebos distintos
Ambas campañas comparten infraestructura y “tooling”, pero difieren en el cebo inicial. En GhostCall, se han observado siete cadenas de infección en varias etapas, cuatro de ellas inéditas. El objetivo prioritario son desarrolladores blockchain: los operadores se presentan como “reclutadores”, ofrecen una prueba técnica y empujan a descargar y ejecutar un repositorio de GitHub que contiene código malicioso oculto.
En GhostHire, el anzuelo son ofertas de trabajo falsas. Tras interactuar con un bot de Telegram, el “candidato” recibe un archivo ZIP o un enlace a GitHub. Los atacantes aplican presión temporal artificial para forzar la apertura sin verificación. El resultado en macOS es la instalación de malware orientado al robo de criptomonedas, secretos, y credenciales de navegadores y Telegram. Este patrón encaja con TTPs previos de Lazarus en macOS descritos por CERTs y CISA: ejecución en etapas, abuso de confianza y evasión de controles de la plataforma mediante cargas firmadas o empaquetadas con apariencia legítima.
IA generativa como acelerador del I+D malicioso
Kaspersky GReAT evalúa que BlueNoroff está incorporando IA generativa para acelerar el desarrollo de herramientas, adoptar nuevos lenguajes y añadir funciones que dificultan el análisis estático y dinámico. Esto favorece una selección más precisa de objetivos, la escalabilidad de las campañas y la rápida rotación de TTPs tras su detección, una tendencia coincidente con avisos públicos recientes sobre el uso ofensivo de LLMs en cibercrimen.
Medidas de mitigación para cripto y Web3
– Verificación por doble canal: confirme la identidad de “inversores” o “reclutadores” mediante fuentes oficiales y dominios corporativos. Desconfíe de enlaces a reuniones o “actualizaciones de cliente” fuera de los portales oficiales de Zoom/Teams.
– Control de instalación en macOS: distribuya software solo vía App Store o el proveedor; aplique MDM/perfiles de configuración para bloquear apps no firmadas y limitar orígenes de instalación.
– Aislamiento para pruebas técnicas: ejecute “test tasks” en entornos desechables y aislados (VMs/contenedores), sin llaves, tokens ni wallets. Aplique mínimo privilegio y secret management.
– Seguridad de comunicaciones: monitorice enlaces en Telegram, bloquee dominios phishing que clonen Zoom/Teams y despliegue EDR/XDR con telemetría para macOS y análisis de comportamiento.
– Protección de cuentas
