AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### EncryptHub intensifica su ofensiva: nueva campaña contra desarrolladores Web3 mediante plataformas de IA falsas

admin

#### Introducción

El grupo de amenazas con motivación financiera conocido como EncryptHub —también identificado bajo los alias LARVA-208 y Water Gamayun— ha lanzado una sofisticada campaña dirigida a desarrolladores Web3. Esta nueva ofensiva se caracteriza por el uso de plataformas de inteligencia artificial falsas, como Norlax AI, que imitan herramientas legítimas (por ejemplo, Teampilot), con el objetivo de distribuir malware tipo information stealer. La campaña ha sido documentada recientemente por firmas de ciberseguridad suizas, alertando sobre el incremento en la sofisticación de las tácticas y la especialización de los ataques.

#### Contexto del Incidente

EncryptHub no es un actor desconocido en el panorama de amenazas: desde 2022 ha sido vinculado a campañas contra startups tecnológicas, criptoempresas y desarrolladores freelance asociados a proyectos Web3 y blockchain. Sin embargo, la evolución reciente en sus tácticas demuestra una comprensión profunda del ecosistema Web3 y de la psicología de sus potenciales víctimas.

En la campaña actual, los operadores de EncryptHub emplean ingeniería social avanzada para atraer a los desarrolladores a través de supuestas oportunidades laborales o solicitudes de revisión de portafolio. Los canales de contacto inicial suelen ser LinkedIn, Discord y foros especializados en blockchain, donde los atacantes se presentan como reclutadores o representantes de empresas tecnológicas con proyectos de IA innovadores.

#### Detalles Técnicos

El vector de ataque principal consiste en la distribución de ejecutables maliciosos disfrazados de herramientas de IA o archivos de prueba relacionados con proyectos de inteligencia artificial. Destaca el caso de Norlax AI, una supuesta plataforma colaborativa que, en realidad, descarga un stealer identificado como variante del malware Lumma Stealer (CVE-2023-4863), adaptado para exfiltrar credenciales, wallets de criptomonedas, tokens de acceso, y archivos de configuración de entornos de desarrollo.

**Tácticas, Técnicas y Procedimientos (TTPs) MITRE ATT&CK:**

– **Initial Access** (T1566.002 – Spearphishing via Service): Contacto personalizado a través de canales profesionales.
– **Execution** (T1204.002 – Malicious File): Ejecución de binarios camuflados como aplicaciones benignas.
– **Credential Access** (T1555.003 – Credentials from Web Browsers): Robo de credenciales almacenadas en navegadores.
– **Exfiltration** (T1041 – Exfiltration over C2 Channel): Envío cifrado de información robada a servidores C2 controlados por EncryptHub.

**Indicadores de Compromiso (IoC):**

– Hashes de archivos ejecutables maliciosos detectados en VirusTotal.
– Dominios asociados a Norlax AI y campañas similares (norlaxai[.]com, teampilotai[.]pro).
– IPs de infraestructura C2 localizadas en Europa del Este y Sudeste Asiático.

**Herramientas y Frameworks utilizados:**

– Variantes customizadas de Lumma Stealer y RedLine Stealer.
– Uso de Metasploit para la creación de payloads y Cobalt Strike para post-explotación en entornos comprometidos.

#### Impacto y Riesgos

Las consecuencias de esta campaña son especialmente críticas para desarrolladores Web3, dado el acceso privilegiado que suelen tener a repositorios de código, claves privadas, wallets y plataformas de despliegue. Se han reportado filtraciones de credenciales, robos de activos digitales y accesos no autorizados a infraestructuras de CI/CD.

Según estimaciones de firmas de análisis, alrededor del 3% de los desarrolladores activos en ecosistemas blockchain han sido objeto de intentos de ataque similares en lo que va de 2024, con pérdidas económicas asociadas que superan los 5 millones de euros. Además, el robo de información sensible puede exponer a las empresas a sanciones por incumplimiento de GDPR y la inminente directiva NIS2.

#### Medidas de Mitigación y Recomendaciones

Las siguientes acciones son recomendadas para reducir la superficie de ataque y mitigar los riesgos:

– **Verificación estricta de identidad** en procesos de selección y revisión de portafolios.
– **Análisis de archivos y enlaces** mediante sandboxing antes de su ejecución en sistemas de desarrollo.
– **Monitorización continua** de endpoints utilizando EDR con capacidades de detección de stealers y RATs.
– **Aplicación de políticas de mínimo privilegio** y segmentación de acceso a wallets y repositorios críticos.
– **Actualización y parcheo** de navegadores, gestores de contraseñas y herramientas de desarrollo.
– **Formación continua** en amenazas emergentes y simulacros de spearphishing orientados a desarrolladores.

#### Opinión de Expertos

Según Laurent Giger, analista principal de amenazas en SwissCyberSec, «esta campaña marca un salto cualitativo en la explotación de la confianza entre profesionales técnicos y reclutadores. Los actores como EncryptHub demuestran una capacidad de adaptación notable, utilizando técnicas de ingeniería social cada vez más personalizadas y payloads diseñados específicamente para el sector Web3».

Por su parte, Martina Vázquez, responsable de cumplimiento en una fintech española, subraya: «El robo de credenciales y activos digitales no solo compromete a la empresa, sino que puede tener implicaciones regulatorias severas bajo el GDPR y la futura NIS2. La concienciación y la monitorización proactiva son imprescindibles».

#### Implicaciones para Empresas y Usuarios

El auge de ataques focalizados en desarrolladores Web3 evidencia la necesidad de adaptar los programas de seguridad a los riesgos específicos de este colectivo. Las empresas deben reforzar sus políticas de onboarding, implementar controles de acceso granulares y establecer mecanismos de respuesta ante incidentes que incluyan la revocación inmediata de credenciales y la trazabilidad de activos digitales.

Para los usuarios individuales y desarrolladores freelance, la recomendación principal es desconfiar de ofertas laborales y colaboraciones no solicitadas, verificando siempre la autenticidad de las plataformas y contactos.

#### Conclusiones

La campaña de EncryptHub contra desarrolladores Web3 representa un nuevo estadio en la evolución de las amenazas financieras, combinando ingeniería social avanzada, técnicas de malware polimórfico y explotación de la confianza en entornos profesionales. El sector debe responder con medidas técnicas, organizativas y de concienciación alineadas con el cambiante panorama regulatorio y de amenazas.

(Fuente: feeds.feedburner.com)