Se ha observado que el actor de amenaza alineado por Corea del Norte conocido como Bluenoroff dirigido a un empleado en el sector Web3 con llamadas de zoom engañosas con ejecutivos de compañía profundamente desarmados para engañarlos para instalar malware en sus dispositivos Apple Macos.
Huntress, que reveló detalles de la intrusión cibernética, dijo que el ataque se dirigió a un empleado de la Fundación de Criptomonedas sin nombre, que recibió un mensaje de un contacto externo en Telegram.
«El mensaje solicitó tiempo para hablar con el empleado, y el atacante envió un enlace calendamente para establecer el tiempo de reunión», dijeron los investigadores de seguridad Alden Schmidt, Stuart Ashenbrenner y Jonathan Semon. «El enlace calendamente fue para un evento de Google Meet, pero cuando se hace clic, la URL redirige al usuario final a un dominio de zoom falso controlado por el actor de amenazas».
Después de varias semanas, se dice que el empleado se unió a una reunión grupal de zoom que incluyó varios profundos de miembros conocidos de los liderazgo de su empresa, junto con otros contactos externos.
Sin embargo, cuando el empleado dijo que no podía usar su micrófono, los personajes sintéticos los instaron a descargar e instalar una extensión de zoom para abordar el supuesto problema. El enlace a la extensión, compartido a través de Telegram, descargó un AppleScript que se llamaba «Zoom_Sdk_Support.Scpt».
Este AppleScript primero abre una página web legítima para el Kit de desarrollo de software Zoom (SDK), pero también está configurado para descargar sigilosamente una carga útil de la próxima etapa desde un servidor remoto («Soporte (.) US05WEB-Zoom (.) Biz») y ejecuta un script de shell.
El script comienza deshabilitando el registro del historial bash y luego verifica si Rosetta 2 está instalada en la Mac comprometida, y si no, lo instala. Rosetta es un software que permite a Macs que ejecutan Apple Silicon para ejecutar aplicaciones que se construyeron para una Mac con un procesador Intel (x86_64).
El script luego procede a crear un archivo oculto llamado «.pwd», y descarga un binario desde la página web de zoom maliciosa («Web071zoom (.lus/fix/audio-fv/7217417464») al directorio «/tmp/icloud_helper». También realiza otra solicitud a la solicitud a la solicitud a «Web071Zoom (.) US/Fix/Audio-TR/7217417464» para obtener otra carga útil no especificada.
El script de shell también solicita al usuario que proporcione la contraseña de su sistema y limpie el historial de comandos ejecutados para evitar dejar un sendero forense. Huntress dijo que su investigación condujo al descubrimiento de ocho binarios maliciosos distintos en el anfitrión de la víctima –
- Telegrama 2un binario basado en NIM responsable de comenzar la puerta trasera principal
- Root Troy V4una puerta trasera GO totalmente realizada que se usa para ejecutar cargas útiles de AppleScript remotas, comandos de shell y descargar malware adicional y ejecutarlos
- Inyectwithdyldun cargador binario C ++ descargado por Root Troy V4, que, a su vez, deja dos cargas útiles más: A Aplicación benigna Swift Para facilitar la inyección de proceso y una diferente Implante de NIM que permite al operador emitir comandos y recibir respuestas de forma asincrónica
- Pantalla Xun Keylogger de Objective-C con características para monitorear las pulsaciones de teclas de la víctima, el portapapeles y la pantalla, y enviar la información a un servidor de comando y control (C2)
- Criptobotun robador de información basado en GO que puede recopilar archivos relacionados con la criptomonedas del host
- Netchkun binario casi vacío que está diseñado para generar números aleatorios para siempre
Bluenoroff, también rastreado bajo los nombres de Piscis Alejusing, APT38, Black Alicanto, Copernicium, Nickel Gladstone, Stardust Chollima y TA444, es un subgrupo dentro del Grupo de Lazarus que tiene una historia de instituciones financieras impresionantes, empresas de criptocurrías y cajeros automáticos para obtener ganancias monetarias y generar la Generación para la República de la Pueblo Demócrata de la República de Cororeea (DPRK).
El grupo es mejor conocido por orquestar una serie de atracones de criptomonedas conocidos como comerciante para atacar a los empleados de organizaciones dedicadas a la investigación de blockchain con aplicaciones de comercio de criptomonedas maliciosas. Algunos de los casos significativos incluyen los hacks de Bybit en febrero de 2025 y Axie Infinity en marzo de 2022.
«Los trabajadores remotos, especialmente en áreas de trabajo de alto riesgo, son a menudo los objetivos ideales para grupos como TA444», dijo Huntress. «Es importante capacitar a los empleados para identificar ataques comunes que comienzan con la ingeniería social relacionada con el software de reuniones remotas».
According to DTEX’s latest assessment of North Korea’s cyber structure, the APT38 mission likely no longer exists and has fractured into TraderTraitor (aka Jade Sleet and UNC4899) and CryptoCore (aka CageyChameleon, CryptoMimic, DangerousPassword, LeeryTurtle, and Sapphire Sleet), with the new clusters becoming the new faces of financial theft for the regime.
«El comerciante es posiblemente el más prolífico de cualquiera de los grupos APT de la RPDC cuando se trata de robo de criptomonedas y parece haber alojado el mayor talento del esfuerzo original de APT38», dijo Dtex. «Cryptocore ha estado activo desde al menos 2018, probablemente separándose de APT38 con el comerciante».
Además, el uso de señuelos con temas de problemas de audio para engañar a las posibles víctimas para que comprometan sus propias máquinas con malware tiene sus ecos en una evolución de otra campaña vinculada a Corea del Norte doblada contagiosa entrevista, lo que implica el uso de alertas de estilo ClickFix para entregar otro malware llamado Golangghost.
La nueva iteración, denominada entrevista de ClickFake, gira en torno a crear anuncios de empleo falsos y engañar a los solicitantes de empleo para que copiaran y ejecutar un comando malicioso con el pretexto de abordar un problema con la cámara de acceso y el micrófono en un sitio web falso creado por los actores de amenazas para completar su evaluación de contratación.
Desde entonces, estos ataques multiplataforma, según Cisco Talos, han evolucionado aún más, empleando una versión de Python de Golangghost que ha sido nombrado Pylangghost. Los sitios de evaluación falsos se hacen pasar por entidades financieras bien conocidas como Archbblock, Coinbase, Robinhood y UNISWAP, y se ha encontrado que se dirigen a un pequeño conjunto de usuarios principalmente ubicados en la India.
«En las recientes campañas, el famoso actor de amenaza Chollima, potencialmente compuesto por múltiples grupos, ha estado utilizando una versión basada en Python de sus troyanos para apuntar a los sistemas de Windows, mientras continúa desplegando una versión basada en Golang para los usuarios de MacOS», dijo la investigadora de seguridad Vanja Svajcer. «Los usuarios de Linux no están atacados en estas últimas campañas».
Pylangghost, como su contraparte de Golang, establece el contacto con un servidor C2 para recibir comandos que permiten a los atacantes controlar de forma remota la máquina infectada, descargar/cargar archivos, así como robar cookies y credenciales de más de 80 extensiones de navegador, incluidas las contraseñas y las billeteras de criptomonedas.
«No está claro (…) por qué los actores de amenaza decidieron crear dos variantes usando un lenguaje de programación diferente, o que se creó primero», comentó Talos. «La estructura, las convenciones de nombres y los nombres de funciones son muy similares, lo que indica que los desarrolladores de las diferentes versiones trabajaron estrechamente juntos o son la misma persona».
