Falsas reuniones en Zoom y Teams: BlueNoroff intensifica ataques a empresas Web3 con GhostCall y GhostHire

Introducción

Durante la última edición del Security Analyst Summit celebrado en Tailandia, el equipo Global Research and Analysis Team (GReAT) de Kaspersky ha expuesto una sofisticada campaña de amenazas avanzadas persistentes (APT) orquestada por el grupo BlueNoroff. Este colectivo, conocido por sus vínculos con el ecosistema Lazarus y su enfoque en el ciberespionaje financiero, ha desplegado dos operaciones activas denominadas GhostCall y GhostHire. Ambas campañas se dirigen principalmente a empresas del sector Web3, fintech y criptomonedas, utilizando como vector de ataque principal la manipulación de plataformas de videoconferencia ampliamente adoptadas, como Zoom y Microsoft Teams.

Contexto del Incidente o Vulnerabilidad

BlueNoroff, identificado por primera vez en 2016, ha perfeccionado durante los últimos años sus técnicas de ingeniería social, pasando de correos electrónicos maliciosos a la explotación de plataformas colaborativas digitales. Según los datos presentados por GReAT, GhostCall y GhostHire representan una evolución significativa en sus TTPs (Tácticas, Técnicas y Procedimientos), adaptándose al paradigma de trabajo híbrido y la proliferación de reuniones virtuales en el sector cripto. Estas campañas han sido detectadas en organizaciones de Europa, Asia y Oriente Medio, con especial incidencia en startups blockchain, casas de cambio y proyectos DeFi.

Detalles Técnicos

GhostCall y GhostHire se caracterizan por emplear técnicas de spear phishing altamente personalizadas. El modus operandi comienza con la identificación de empleados clave a través de LinkedIn y redes sociales, seguido de un contacto inicial simulando colaboraciones o propuestas de negocio legítimas. Una vez establecida la comunicación, los atacantes agendan falsas reuniones a través de Zoom o Teams, enviando invitaciones que incluyen enlaces a sitios de phishing o archivos adjuntos maliciosos.

En el caso de GhostCall, se han observado archivos ejecutables camuflados como instaladores de Zoom o complementos de Teams, portando cargas útiles identificadas bajo el CVE-2023-38831 (explotación de WinRAR para ejecución remota), así como variantes de malware diseñadas para evadir sandboxing y mecanismos EDR. La cadena de ataque incluye el despliegue de backdoors personalizados y herramientas de post-explotación, con frecuencias de uso de frameworks como Metasploit y Cobalt Strike, además de scripts PowerShell ofuscados para la persistencia y exfiltración de credenciales.

Entre los IoC (Indicadores de Compromiso) detectados destacan dominios typosquatting relacionados con plataformas de videoconferencia, hashes de archivos ejecutables y direcciones IP asociadas a infraestructuras de mando y control (C2) previamente vinculadas a BlueNoroff. Las TTPs encajan con las matrices MITRE ATT&CK, especialmente en las técnicas T1566.002 (phishing mediante enlaces), T1059 (ejecución de comandos), T1027 (ofuscación de archivos y scripts) y T1071 (comunicación C2 mediante canales legítimos).

Impacto y Riesgos

El alcance de GhostCall y GhostHire es significativo. Según estimaciones de Kaspersky, hasta un 12% de las organizaciones del ecosistema Web3 han sido objetivo de intentos de intrusión en los últimos seis meses, con pérdidas económicas globales que superan los 70 millones de dólares atribuidas a este grupo APT desde 2022. El impacto directo incluye robo de credenciales, acceso a billeteras criptográficas, fraude financiero y, en menor medida, espionaje corporativo.

Dada la naturaleza transfronteriza de las operaciones y la dificultad para rastrear transferencias en redes blockchain, la atribución y contención de incidentes se complica considerablemente. Además, la explotación de plataformas de uso diario como Zoom y Teams amplifica el riesgo de compromiso lateral y escalada de privilegios en entornos corporativos.

Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a estas campañas, se recomienda:

– Actualización inmediata de todas las plataformas de videoconferencia y gestores de archivos (especialmente WinRAR, CVE-2023-38831).
– Implementación de filtro de enlaces y archivos en gateways de correo electrónico y plataformas colaborativas.
– Concienciación y formación periódica para empleados sobre técnicas de spear phishing y verificación de remitentes.
– Monitorización activa de IoC proporcionados por GReAT y comunidades de threat intelligence.
– Refuerzo de políticas de acceso zero trust y autenticación multifactor (MFA), en especial para billeteras y sistemas críticos.
– Despliegue de soluciones EDR/XDR capaces de detectar ejecución de scripts ofuscados y comunicaciones anómalas con C2.

Opinión de Expertos

Especialistas en ciberinteligencia coinciden en que BlueNoroff representa una de las amenazas más persistentes y adaptativas del panorama actual. “La explotación de plataformas legítimas y la personalización extrema de sus ataques convierten a GhostCall y GhostHire en desafíos mayúsculos para los equipos SOC”, afirma Juan Carlos Pérez, analista de amenazas en S21sec. Añade que “la colaboración intersectorial y el intercambio de IoC en tiempo real son esenciales para frenar la propagación de este tipo de campañas”.

Implicaciones para Empresas y Usuarios

El auge de ataques dirigidos a través de reuniones virtuales plantea un reto para la gobernanza TI y el cumplimiento normativo, especialmente bajo el marco GDPR y la inminente directiva NIS2. Las brechas que afecten a datos personales o activos digitales pueden acarrear sanciones económicas y daños reputacionales severos. Las empresas del sector Web3, por su exposición y liquidez, deben reforzar sus capacidades de detección, respuesta y concienciación para minimizar el vector humano.

Conclusiones

La actividad reciente de BlueNoroff evidencia una sofisticada evolución en las técnicas de ataque a ecosistemas digitales, combinando ingeniería social avanzada y explotación de herramientas cotidianas. La protección efectiva requiere un enfoque integral que combine tecnología, procesos y formación continua, así como la colaboración entre actores públicos y privados. La vigilancia permanente y la actualización de medidas defensivas serán claves frente a una amenaza en constante mutación.

(Fuente: www.cybersecuritynews.es)