Piratas norcoreanos usan vídeos generados por IA y la técnica ClickFix para atacar a la industria cripto

Introducción

La amenaza persistente de actores estatales norcoreanos vuelve a situarse en el centro de atención tras descubrirse campañas dirigidas específicamente a profesionales y empresas del sector de las criptomonedas. Investigadores de ciberseguridad han detectado el uso combinado de vídeos generados por inteligencia artificial (IA) y la sofisticada técnica ClickFix para distribuir malware tanto en sistemas macOS como Windows. Esta táctica, novedosa y altamente personalizada, evidencia la rápida adaptación y el grado de especialización alcanzado por grupos como Lazarus o APT38, que buscan sortear controles tradicionales y evadir la detección en entornos cada vez más securizados.

Contexto del Incidente

El sector de las criptomonedas ha sido históricamente un objetivo prioritario para los actores de amenazas norcoreanos, dada la capacidad de monetización rápida y la dificultad de rastreo de los activos sustraídos. Desde 2020, se estima que grupos patrocinados por el régimen de Pyongyang han robado más de 3.000 millones de dólares en activos digitales, según informes de Chainalysis y la Oficina de Control de Bienes Extranjeros (OFAC) de EE.UU. En este último incidente, las campañas identificadas se dirigen preferentemente a desarrolladores, traders, exchanges y responsables de seguridad dentro del ecosistema cripto, utilizando ingeniería social avanzada y técnicas de spear-phishing.

Detalles Técnicos: Vectores de Ataque y TTPs

La campaña destaca por el uso de vídeos generados con inteligencia artificial, en los que supuestos reclutadores o expertos del sector invitan a las víctimas a ejecutar aplicaciones o abrir enlaces relacionados con ofertas de trabajo o colaboraciones en proyectos blockchain. Estos vídeos, creados mediante tecnologías deepfake y síntesis de voz, incrementan el nivel de credibilidad de los mensajes y dificultan la detección por parte de los usuarios.

El punto clave del ataque es la explotación de la técnica ClickFix, documentada por primera vez en 2023. ClickFix consiste en proporcionar a la víctima instrucciones precisas para saltar las protecciones de Gatekeeper en macOS o el SmartScreen de Windows. Por ejemplo, se indica cómo modificar atributos de los archivos descargados o ejecutar comandos específicos en terminal («xattr -d com.apple.quarantine», entre otros), permitiendo la ejecución de binarios maliciosos sin alertas del sistema operativo.

Los artefactos maliciosos identificados incluyen variantes de malware como AppleJeus (macOS) y versiones modificadas de Loader y RATs (Remote Access Trojans) para Windows. En algunas campañas, se han observado payloads empaquetados en archivos comprimidos protegidos por contraseña, con instrucciones de extracción proporcionadas en los propios vídeos o mensajes de correo.

En el marco MITRE ATT&CK, las técnicas empleadas encajan principalmente en:
– T1566.001 (Phishing: Spearphishing Attachment)
– T1204.002 (User Execution: Malicious File)
– T1218.010 (Signed Binary Proxy Execution: AppleScript)
– T1059 (Command and Scripting Interpreter)

Entre los indicadores de compromiso (IoC) detectados figuran hashes de archivos, dominios de C2 y direcciones IP asociadas previamente con infraestructuras de Lazarus/APT38.

Impacto y Riesgos

El impacto potencial de estas campañas es elevado, con un riesgo significativo de robo de credenciales, extracción de billeteras cripto, secuestro de sistemas y movimientos laterales dentro de redes corporativas. La combinación de técnicas de ingeniería social personalizada y el uso de deepfakes aumenta la tasa de éxito de los ataques, especialmente entre empleados con acceso a activos digitales o información confidencial sobre operaciones blockchain.

Según datos de la industria, la adopción de criptomonedas y DeFi en Europa y América Latina ha crecido un 35% interanual, lo que amplía la superficie de ataque y eleva la importancia de proteger tanto endpoints como infraestructuras críticas.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, se recomienda:
– Actualizar sistemas operativos y aplicaciones a las últimas versiones.
– Implementar soluciones EDR/NGAV con capacidades de detección de TTPs avanzadas.
– Restringir la ejecución de binarios no firmados y monitorizar el uso de terminal y scripts sospechosos.
– Concienciar a los usuarios sobre las nuevas formas de ingeniería social basadas en IA.
– Aplicar segmentación de redes y MFA reforzada para accesos privilegiados.
– Monitorear indicadores de compromiso y correlacionar eventos con feeds de amenazas actualizados.

Opinión de Expertos

Según analistas de SentinelOne y Mandiant, el uso de ClickFix demuestra una comprensión profunda de las barreras de seguridad nativas en macOS y Windows, lo que obliga a las empresas a ir más allá de los controles tradicionales y apostar por la detección de comportamiento anómalo. Además, subrayan el papel emergente de la IA en la automatización y personalización de campañas de phishing, anticipando que estos métodos serán adoptados por otros actores APT a corto plazo.

Implicaciones para Empresas y Usuarios

Las organizaciones del sector cripto deben revisar sus procedimientos de onboarding y colaboración externa, así como endurecer los controles en endpoints, especialmente aquellos utilizados para operaciones financieras. La exposición a un ataque exitoso puede derivar en brechas de datos, pérdidas económicas y sanciones regulatorias bajo el GDPR o la futura directiva NIS2, que exige la notificación de incidentes graves en menos de 24 horas.

Conclusiones

El avance de los grupos APT norcoreanos en la explotación de IA y técnicas avanzadas de evasión marca un nuevo hito en la evolución de las amenazas dirigidas al sector cripto. Resulta imprescindible combinar tecnología, formación y respuesta proactiva para anticipar y contener estos riesgos, en un contexto donde la sofisticación y la personalización de los ataques se consolidan como la nueva normalidad.

(Fuente: www.bleepingcomputer.com)