Google Alerta Sobre Campaña de Malware Norcoreano con IA que Roba Millones en Criptomonedas

El equipo de seguridad de Google en Mandiant ha advertido que los hackers norcoreanos están incorporando deepfakes generados con inteligencia artificial en reuniones de video falsas como parte de ataques cada vez más sofisticados contra empresas de criptomonedas, según un informe publicado el lunes.

Mandiant afirmó que recientemente investigó una intrusión en una empresa fintech que atribuye a UNC1069, o "CryptoCore", un actor de amenazas vinculado con alta confianza a Corea del Norte. El ataque utilizó una cuenta de Telegram comprometida, una reunión de Zoom falsificada y una técnica denominada ClickFix para engañar a la víctima y hacer que ejecutara comandos maliciosos. Los investigadores también encontraron evidencia de que se utilizó video generado con IA para engañar al objetivo durante la reunión falsa.

"Mandiant ha observado a UNC1069 empleando estas técnicas para atacar tanto a entidades corporativas como a individuos dentro de la industria de las criptomonedas, incluyendo empresas de software y sus desarrolladores, así como firmas de capital de riesgo y sus empleados o ejecutivos", señaló el informe.

Campaña de robo de criptomonedas de Corea del Norte

La advertencia llega mientras los robos de criptomonedas de Corea del Norte continúan creciendo en escala. A mediados de diciembre, la firma de análisis blockchain Chainalysis afirmó que los hackers norcoreanos robaron $2.020 millones en criptomonedas en 2025, un aumento del 51% respecto al año anterior. La cantidad total robada por actores vinculados a la RPDC ahora asciende a aproximadamente $6.750 millones, incluso cuando el número de ataques ha disminuido.

Los hallazgos destacan un cambio más amplio en la forma en que operan los cibercriminales vinculados a estados. En lugar de depender de campañas masivas de phishing, CryptoCore y grupos similares se están enfocando en ataques altamente personalizados que explotan la confianza en las interacciones digitales rutinarias, como invitaciones de calendario y videollamadas. De esta manera, Corea del Norte está logrando robos más grandes a través de menos incidentes más dirigidos.

Según Mandiant, el ataque comenzó cuando la víctima fue contactada en Telegram por lo que parecía ser un ejecutivo de criptomonedas conocido cuya cuenta ya había sido comprometida. Después de establecer una relación, el atacante envió un enlace de Calendly para una reunión de 30 minutos que dirigió a la víctima a una llamada de Zoom falsa alojada en la propia infraestructura del grupo. Durante la llamada, la víctima reportó haber visto lo que parecía ser un video deepfake de un CEO de criptomonedas muy conocido.

Una vez que comenzó la reunión, los atacantes afirmaron que había problemas de audio e instruyeron a la víctima a ejecutar comandos de "solución de problemas", una técnica ClickFix que finalmente desencadenó la infección de malware. El análisis forense identificó posteriormente siete familias distintas de malware en el sistema de la víctima, desplegadas en un aparente intento de recopilar credenciales, datos del navegador y tokens de sesión para robo financiero y futura suplantación de identidad.

Suplantación con deepfake

Fraser Edwards, cofundador y CEO de la firma de identidad descentralizada cheqd, afirmó que el ataque refleja un patrón que está viendo repetidamente contra personas cuyos trabajos dependen de reuniones remotas y coordinación rápida. "La efectividad de este enfoque proviene de lo poco que tiene que parecer inusual", señaló Edwards.

"El remitente es familiar. El formato de la reunión es rutinario. No hay adjuntos de malware ni exploits obvios. La confianza se aprovecha antes de que cualquier defensa técnica tenga la oportunidad de intervenir".

Edwards afirmó que el video deepfake generalmente se introduce en puntos de escalamiento, como llamadas en vivo, donde ver una cara familiar puede anular las dudas creadas por solicitudes inesperadas o problemas técnicos. "Ver lo que parece ser una persona real en cámara suele ser suficiente para anular la duda creada por una solicitud inesperada o un problema técnico. El objetivo no es una interacción prolongada, sino solo el realismo suficiente para llevar a la víctima al siguiente paso", agregó.

Edwards añadió que la IA ahora se está utilizando para apoyar la suplantación de identidad fuera de las llamadas en vivo. "Se utiliza para redactar mensajes, corregir el tono de voz e imitar la forma en que alguien normalmente se comunica con colegas o amigos. Eso hace que los mensajes rutinarios sean más difíciles de cuestionar y reduce la posibilidad de que un destinatario haga una pausa lo suficientemente larga como para verificar la interacción", explicó.

Edwards advirtió que el riesgo aumentará a medida que se introduzcan agentes de IA en la comunicación y toma de decisiones cotidianas. "Los agentes pueden enviar mensajes, programar llamadas y actuar en nombre de los usuarios a velocidad de máquina. Si esos sistemas son abusados o comprometidos, el audio o video deepfake puede desplegarse automáticamente, convirtiendo la suplantación de identidad de un esfuerzo manual en un proceso escalable", afirmó.

Es "poco realista" esperar que la mayoría de los usuarios sepan cómo detectar un deepfake, señaló Edwards, añadiendo que "la respuesta no es pedirles a los usuarios que presten más atención, sino construir sistemas que los protejan por defecto. Eso significa mejorar cómo se señala y verifica la autenticidad, para que los usuarios puedan entender rápidamente si el contenido es real, sintético o no verificado sin depender del instinto, la familiaridad o la investigación manual".