Se ha observado que los actores de amenazas vinculados a Corea del Meta apuntan a los sectores Web3 y blockchain como parte de campañas gemelas rastreadas como señal espectro y Arriendo de fantasmas.
Según Kaspersky, las campañas son parte de una operación más amplia señal SnatchCrypto que ha estado en marcha desde al menos 2017. La actividad se atribuye a un subgrupo del Colección Lazarus llamado BlueNoroff, que además se conoce como APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (anteriormente Copernicium) y Stardust Chollima.
Las víctimas de la campaña GhostCall abarcan varios hosts macOS infectados ubicados en Japón, Italia, Francia, Singapur, Turquía, España, Suecia, India y Hong Kong, mientras que Japón y Australia han sido identificados como los principales cotos de caza para la campaña GhostHire.
“GhostCall apunta en gran medida a los dispositivos macOS de ejecutivos de empresas tecnológicas y del sector de hacienda de aventura al acercarse directamente a los objetivos a través de plataformas como Telegram e invitar a víctimas potenciales a reuniones relacionadas con inversiones vinculadas a sitios web de phishing similares a Teleobjetivo”, dijo Kaspersky.
“La víctima se uniría a una señal falsa con grabaciones genuinas de otras víctimas reales de esta amenaza en ocupación de deepfakes. La señal continúa sin problemas y luego alienta al agraciado a refrescar el cliente Teleobjetivo con un script. Finalmente, el script descarga archivos ZIP que resultan en cadenas de infección implementadas en un host infectado”.
Por otro banda, GhostHire implica acercarse a objetivos potenciales, como desarrolladores Web3, en Telegram y atraerlos para que descarguen y ejecuten un repositorio GitHub con trampa explosiva con el pretexto de completar una evaluación de habilidades internamente de los 30 minutos posteriores a compartir el enlace, para asegurar una anciano tasa de éxito de infección.
Una vez instalado, el plan está diseñado para descargar una carga útil maliciosa en el sistema del desarrollador según el sistema activo utilizado. La empresa rusa de ciberseguridad dijo que ha estado siguiendo las dos campañas desde abril de 2025, aunque se evalúa que GhostCall ha estado activo desde mediados de 2023, probablemente a posteriori de la campaña RustBucket.
RustBucket marcó el principal giramiento del colectivo adversario para apuntar a sistemas macOS, tras lo cual otras campañas han aplicado familias de malware como KANDYKORN, ObjCShellz y TodoSwift.
Vale la pena señalar que varios proveedores de seguridad han documentado ampliamente varios aspectos de la actividad durante el año pasado, incluidos Microsoft, Huntress, Field Effect, Huntabil.IT, Validin y SentinelOne.
La campaña GhostCall
Los objetivos que llegan a las páginas falsas de Teleobjetivo como parte de la campaña GhostCall reciben inicialmente una página falsa que da la ilusión de una señal en vivo, solo para mostrar un mensaje de error de tres a cinco segundos a posteriori, instándolos a descargar un kit de incremento de software (SDK) de Teleobjetivo para topar un supuesto problema al continuar con la señal.
Si las víctimas caen en la trampa e intentan refrescar el SDK haciendo clic en la opción “Renovar ahora”, se descarga un archivo AppleScript pillo en su sistema. En caso de que la víctima esté utilizando una máquina con Windows, el ataque aprovecha la técnica ClickFix para copiar y ejecutar un comando de PowerShell.
En cada etapa, cada interacción con el sitio impostor se registra y se envía a los atacantes para rastrear las acciones de la víctima. Tan recientemente como el mes pasado, se observó al actor de amenazas haciendo la transición de Teleobjetivo a Microsoft Teams, utilizando la misma táctica de engañar a los usuarios para que descarguen un SDK de TeamsFx esta vez para desencadenar la condena de infección.
Independientemente del señuelo utilizado, AppleScript está diseñado para instalar una aplicación falsa disfrazada de Teleobjetivo o Microsoft Teams. Todavía descarga otro AppleScript denominado DownTroy que verifica las contraseñas almacenadas asociadas con aplicaciones de empresa de contraseñas e instala malware adicional con privilegios de root.
DownTroy, por su parte, está diseñado para difundir varias cargas efectos como parte de ocho cadenas de ataque distintas, al tiempo que evita el entorno de Transparencia, Consentimiento y Control (TCC) de Apple.
- ZoomClutch o TeamsClutch, que utiliza un implante basado en Swift que se hace acontecer por Teleobjetivo o Teams y al mismo tiempo alberga una funcionalidad para solicitar al agraciado que ingrese su contraseña del sistema para completar la modernización de la aplicación y filtrar los detalles a un servidor forastero.
- DownTroy v1, que utiliza un cuentagotas basado en Go para iniciar el malware DownTroy basado en AppleScript que luego es responsable de descargar scripts adicionales del servidor hasta que se reinicia la máquina.
- CosmicDoor, que utiliza un cargador binario de C++ llamado GillyInjector (además conocido como InjectWithDyld) para ejecutar una aplicación Mach-O benigna e inyectarle una carga útil maliciosa en tiempo de ejecución. Cuando se ejecuta con el indicador –d, GillyInjector activa sus capacidades destructivas y poso irrevocablemente todos los archivos en el directorio coetáneo. La carga útil inyectada es una puerta trasera escrita en Nim señal CosmicDoor que puede comunicarse con un servidor forastero para tomar y ejecutar comandos. Se cree que los atacantes primero desarrollaron una interpretación Go de CosmicDoor para Windows, antaño de acontecer a las variantes Rust, Python y Nim. Todavía descarga una suite de robo de scripts de bash señal SilentSiphon.
- RooTroy, que utiliza el cargador Nimcore para iniciar GillyInjector, que luego inyecta una puerta trasera Go señal RooTroy (además conocida como Root Troy V4) para resumir información del dispositivo, enumerar los procesos en ejecución, analizar la carga útil de un archivo específico y descargar malware adicional (contando RealTimeTroy) y ejecutarlos.
- RealTimeTroy, que utiliza el cargador Nimcore para iniciar GillyInjector, que luego inyecta una puerta trasera Go señal RealTimeTroy que se comunica con un servidor forastero utilizando el protocolo WSS para analizar/escribir archivos, obtener información de directorio y proceso, cargar/descargar archivos, finalizar un proceso específico y obtener información del dispositivo.
- SneakMain, que utiliza el cargador Nimcore para iniciar una carga útil de Nim señal SneakMain para tomar y ejecutar comandos AppleScript adicionales recibidos desde un servidor forastero.
- DownTroy v2, que utiliza un cuentagotas llamado CoreKitAgent para iniciar el cargador Nimcore, que luego inicia DownTroy basado en AppleScript (además conocido como NimDoor) para descargar un script pillo adicional desde un servidor forastero.
- SysPhon, que utiliza una interpretación ligera de RustBucket señal SysPhon y SUGARLOADER, un cargador conocido que anteriormente entregó el malware KANDYKORN. SysPhon, además empleado en la campaña Hidden Risk, es un software de descarga escrito en C++ que puede realizar reconocimientos y recuperar una carga útil binaria de un servidor forastero.
SilentSiphon está equipado para resumir datos de Apple Notes, Telegram, extensiones de navegadores web, así como credenciales de navegadores y administradores de contraseñas, y secretos almacenados en archivos de configuración relacionados con una larga inventario de servicios: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle. Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes y OpenAI.
“Si adecuadamente los videos de las llamadas falsas se grabaron a través de las páginas de phishing de Teleobjetivo fabricadas por el actor, las imágenes de perfil de los participantes de la reunión parecen favor sido obtenidas de plataformas de trabajo o plataformas de redes sociales como LinkedIn, Crunchbase o X”, dijo Kaspersky. “Curiosamente, algunas de estas imágenes fueron mejoradas con (OpenAI) GPT-4o”.
La campaña GhostHire
La campaña GhostHire, añadió la empresa rusa de ciberseguridad, además se remonta a mediados de 2023, cuando los atacantes iniciaron contacto con los objetivos directamente en Telegram, compartiendo detalles de una proposición de trabajo anejo con un enlace a un perfil de LinkedIn que se hacía acontecer por reclutadores de empresas financieras con sede en EE. UU. en un intento de dar a las conversaciones un barniz de licitud.
“A posteriori de la comunicación auténtico, el actor agrega el objetivo a una inventario de usuarios para un bot de Telegram, que muestra el logotipo de la empresa suplantada y afirma falsamente que agiliza las evaluaciones técnicas de los candidatos”, explicó Kaspersky.
“Luego, el bot envía a la víctima un archivo (ZIP) que contiene un plan de evaluación de codificación, anejo con un plazo exacto (a menudo cerca de de 30 minutos) para presionar al objetivo para que complete rápidamente la tarea. Esta necesidad aumenta la probabilidad de que el objetivo ejecute el contenido pillo, lo que lleva a un compromiso auténtico del sistema”.
El plan en sí es inofensivo, pero incorpora una dependencia maliciosa en forma de un módulo Go pillo alojado en GitHub (por ejemplo, uniroute), lo que provoca que la secuencia de infección se active una vez que se ejecuta el plan. Esto incluye primero determinar el sistema activo de la computadora de la víctima y entregar una carga útil de venidero etapa adecuada (es afirmar, DownTroy) programada en PowerShell (Windows), bash script (Linux) o AppleScript (macOS).
Todavía se implementan a través de DownTroy en los ataques dirigidos a Windows RooTroy, RealTimeTroy, una interpretación Go de CosmicDoor y un cargador basado en Rust llamado Bof que se utiliza para decodificar y difundir una carga útil de shellcode cifrada almacenada en la carpeta “C:Windowssystem32”.
“Nuestra investigación indica un esfuerzo sostenido por parte del actor para desarrollar malware dirigido a sistemas Windows y macOS, orquestado a través de una infraestructura unificada de comando y control”, dijo Kaspersky. “El uso de IA generativa ha acelerado significativamente este proceso, permitiendo un incremento de malware más apto con una sobrecarga operativa estrecha”.
“La organización de orientación del actor ha evolucionado más allá de la simple criptomoneda y el robo de credenciales de navegador. Al obtener comunicación, realizan una adquisición integral de datos en una variedad de activos, incluida infraestructura, herramientas de colaboración, aplicaciones para tomar notas, entornos de incremento y plataformas de comunicación (mensajeros)”.
