Investigadores de Elastic Security Labs han documentado una nueva campaña de amenazas dirigida, identificada como REF6598, que aprovecha la popular aplicación de notas Obsidian como vector inicial de compromiso. El objetivo principal son profesionales del sector financiero y de criptomonedas, y el resultado final en sistemas Windows es la instalación de un troyano de acceso remoto (RAT) no documentado previamente, denominado PHANTOMPULSE.
Ataque de ingeniería social a través de LinkedIn y Telegram
La operación REF6598 se apoya en una ingeniería social altamente personalizada. Los atacantes contactan a las víctimas mediante LinkedIn, haciéndose pasar por representantes de fondos de capital riesgo o firmas de inversión. Tras el primer acercamiento, invitan al objetivo a continuar la conversación en un chat grupal de Telegram, donde supuestos “socios” y “colegas” discuten temas de liquidez, productos cripto y servicios financieros, reforzando la apariencia de una negociación legítima.
Este enfoque explota un punto débil bien conocido: según informes del sector, como Verizon Data Breach Investigations Report (DBIR), entre el 70 % y el 75 % de los incidentes de fuga de datos involucran al factor humano. REF6598 ilustra cómo, incluso en organizaciones con controles técnicos avanzados, la combinación de credibilidad profesional (LinkedIn), mensajería cifrada (Telegram) y narrativa financiera convincente sigue siendo un vector de ataque muy eficaz.
Abuso de plugins de Obsidian como vector de ejecución de código
La campaña no explota vulnerabilidades en Obsidian; en su lugar, abusa de funcionalidades legítimas. A la víctima se le propone acceder a un supuesto “espacio de trabajo compartido” o “dashboard” mediante un vault en la nube de Obsidian, para el que se facilitan credenciales. Una vez abierto el vault, los atacantes persuaden al usuario para que habilite la sincronización de la opción “Installed community plugins”.
En ese momento se activa la cadena de infección. Los delincuentes se basan en dos complementos del ecosistema de la comunidad de Obsidian: Shell Commands y Hider. El primero permite ejecutar comandos del sistema bajo determinadas condiciones; el segundo oculta elementos de la interfaz (barra de estado, barras de desplazamiento, avisos, etc.), lo que dificulta que el usuario perciba actividad sospechosa.
Dado que la sincronización de plugins comunitarios está desactivada por defecto y no se puede forzar de forma remota, los atacantes dependen de que la propia víctima la habilite. Tras hacerlo, los ficheros de configuración JSON del vault cargan plugins ya preparados y disparan la ejecución de comandos. Elastic Security Labs subraya que la carga maliciosa reside íntegramente en la configuración, un enfoque de tipo “fileless” que complica la detección por soluciones antivirus centradas en binarios o archivos ejecutables tradicionales.
PHANTOMPULSE: nuevo RAT para Windows con C2 basado en blockchain de Ethereum
En sistemas Windows, el plugin Shell Commands lanza un script de PowerShell que descarga un primer componente, bautizado como PHANTOMPULL. Este módulo actúa como cargador intermedio: descifra y despliega en memoria el núcleo del malware, el RAT PHANTOMPULSE, desarrollado, según el análisis, utilizando herramientas de IA generativa.
Una de las características más llamativas de PHANTOMPULSE es su mecanismo de comando y control (C2) no convencional. En lugar de usar dominios o direcciones IP codificadas, interroga la blockchain de Ethereum, leyendo la última transacción asociada a una cartera concreta integrada en el código. La información contenida en esa transacción se utiliza para recuperar la dirección actual del servidor C2, lo que complica el bloqueo mediante filtrado clásico de dominios e IP.
Una vez obtenido el C2 activo, el RAT se comunica con el servidor a través de WinHTTP para enviar telemetría del sistema y recibir instrucciones. Sus capacidades son las habituales en este tipo de herramientas: ejecución de comandos arbitrarios, subida y descarga de archivos, captura de pantallas, registro de pulsaciones de teclado (keylogging) y recopilación detallada de información del equipo, otorgando a los atacantes control remoto completo sobre estaciones de trabajo de alto valor.
Cadena de ataque en macOS: AppleScript y uso de Telegram como “dead drop”
En entornos macOS, REF6598 despliega una ruta distinta. El plugin Shell Commands ejecuta un dropper basado en AppleScript ofuscado, diseñado para iterar sobre una lista de dominios predefinidos en busca de un servidor C2 operativo. Si dichos dominios no responden, el malware recurre a Telegram como canal “dead drop”, es decir, como fuente de respaldo para recuperar información de configuración o direcciones de C2.
Este enfoque otorga una elevada flexibilidad a la infraestructura de mando y control: los atacantes pueden rotar dominios con rapidez y mantener canales alternativos para redistribuir puntos de conexión, reduciendo la eficacia de medidas defensivas basadas solo en listas de bloqueo de nombres de dominio.
En su fase final, el dropper contacta con el dominio C2 válido, descarga una segunda etapa de código malicioso y la ejecuta mediante osascript. Durante el análisis, los investigadores no lograron obtener este segundo componente, ya que la infraestructura C2 no estaba disponible y el intento de intrusión observado fue detenido antes de completarse.
Recomendaciones de ciberseguridad para el sector financiero y de criptomonedas
REF6598 refuerza un patrón en alza: los actores de amenazas aprovechan aplicaciones de confianza y sus funciones legítimas (en lugar de vulnerabilidades) para obtener y mantener acceso en entornos críticos. Esta táctica reduce la eficacia de defensas centradas únicamente en firmas de malware conocidos o exploits específicos.
Para organizaciones financieras y empresas de criptomonedas resulta clave revisar sus modelos de amenaza y políticas sobre aplicaciones de notas y gestión del conocimiento. Entre las medidas recomendadas se incluyen: limitar o auditar el uso de plugins comunitarios en Obsidian y herramientas similares, implantar listas blancas de extensiones aprobadas, y monitorizar la ejecución de PowerShell, AppleScript y otros intérpretes cuando son lanzados por procesos inusuales como Obsidian.
Asimismo, es fundamental reforzar la concienciación del personal frente a la ingeniería social profesionalizada: verificar la identidad de supuestos inversores y socios contactados por LinkedIn, ser cautelosos al trasladar conversaciones a mensajería instantánea y evitar introducir credenciales ajenas o activar funciones avanzadas (como sincronización de plugins) a petición de terceros.
La combinación de herramientas técnicas (EDR/XDR con análisis de cadenas de procesos, control granular de plugins, monitorización de tráfico de red) y formación continua en ciberseguridad reduce significativamente la superficie de ataque. Cuantos menos usuarios acepten “por cortesía comercial” modificar la configuración de aplicaciones de confianza, más difícil resultará para campañas como REF6598 explotar funcionalidades legítimas para fines maliciosos. Es un momento oportuno para revisar políticas internas, actualizar controles y promover una cultura de desconfianza informada ante cualquier solicitud inusual, por muy convincente que parezca.
