Se ha observado que los actores de amenazas vinculados a Corea del Septentrión apuntan a los sectores Web3 y blockchain como parte de campañas gemelas rastreadas como señal espantajo y Arriendo de fantasmas.
Según Kaspersky, las campañas son parte de una operación más amplia señal SnatchCrypto que ha estado en marcha desde al menos 2017. La actividad se atribuye a un subgrupo del Rama Lazarus llamado BlueNoroff, que igualmente se conoce como APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (anteriormente Copernicium) y Stardust Chollima.
Las víctimas de la campaña GhostCall abarcan varios hosts macOS infectados ubicados en Japón, Italia, Francia, Singapur, Turquía, España, Suecia, India y Hong Kong, mientras que Japón y Australia han sido identificados como los principales cotos de caza para la campaña GhostHire.
«GhostCall apunta en gran medida a los dispositivos macOS de ejecutivos de empresas tecnológicas y del sector de caudal de aventura al acercarse directamente a los objetivos a través de plataformas como Telegram e invitar a víctimas potenciales a reuniones relacionadas con inversiones vinculadas a sitios web de phishing similares a Teleobjetivo», dijeron los investigadores de Kaspersky Sojun Ryu y Omar Amin.
«La víctima se uniría a una señal falsa con grabaciones genuinas de otras víctimas reales de esta amenaza en circunscripción de deepfakes. La señal continúa sin problemas y luego alienta al agraciado a refrescar el cliente Teleobjetivo con un script. Finalmente, el script descarga archivos ZIP que resultan en cadenas de infección implementadas en un host infectado».
Por otro costado, GhostHire implica acercarse a objetivos potenciales, como desarrolladores Web3, en Telegram y atraerlos para que descarguen y ejecuten un repositorio GitHub con trampa explosiva con el pretexto de completar una evaluación de habilidades internamente de los 30 minutos posteriores a compartir el enlace, para respaldar una viejo tasa de éxito de infección.
Una vez instalado, el esquema está diseñado para descargar una carga útil maliciosa en el sistema del desarrollador según el sistema eficaz utilizado. La empresa rusa de ciberseguridad dijo que ha estado siguiendo las dos campañas desde abril de 2025, aunque se evalúa que GhostCall ha estado activo desde mediados de 2023, probablemente luego de la campaña RustBucket.
RustBucket marcó el principal locución del colectivo adversario para apuntar a sistemas macOS, tras lo cual otras campañas han trabajador familias de malware como KANDYKORN, ObjCShellz y TodoSwift.
Vale la pena señalar que varios proveedores de seguridad han documentado ampliamente varios aspectos de la actividad durante el año pasado, incluidos Microsoft, Huntress, Field Effect, Huntabil.IT, Validin y SentinelOne.
La campaña GhostCall
Los objetivos que llegan a las páginas falsas de Teleobjetivo como parte de la campaña GhostCall reciben inicialmente una página falsa que da la ilusión de una señal en vivo, solo para mostrar un mensaje de error de tres a cinco segundos luego, instándolos a descargar un kit de exposición de software (SDK) de Teleobjetivo para enfrentarse un supuesto problema al continuar con la señal.
Si las víctimas caen en la trampa e intentan refrescar el SDK haciendo clic en la opción «Renovar ahora», se descarga un archivo AppleScript taimado en su sistema. En caso de que la víctima esté utilizando una máquina con Windows, el ataque aprovecha la técnica ClickFix para copiar y ejecutar un comando de PowerShell.
 |
| Flujo de ataque de la campaña GhostCall |
En cada etapa, cada interacción con el sitio aparente se registra y se envía a los atacantes para rastrear las acciones de la víctima. Tan recientemente como el mes pasado, se observó al actor de amenazas haciendo la transición de Teleobjetivo a Microsoft Teams, utilizando la misma táctica de engañar a los usuarios para que descarguen un SDK de TeamsFx esta vez para desencadenar la dependencia de infección.
Independientemente del señuelo utilizado, AppleScript está diseñado para instalar una aplicación falsa disfrazada de Teleobjetivo o Microsoft Teams. Igualmente descarga otro AppleScript denominado DownTroy que verifica las contraseñas almacenadas asociadas con aplicaciones de distribución de contraseñas e instala malware adicional con privilegios de root.
DownTroy, por su parte, está diseñado para exhalar varias cargas enseres como parte de ocho cadenas de ataque distintas, al tiempo que evita el situación de Transparencia, Consentimiento y Control (TCC) de Apple.
- ZoomClutch o TeamsClutch, que utiliza un implante basado en Swift que se hace acontecer por Teleobjetivo o Teams y al mismo tiempo alberga una funcionalidad para solicitar al agraciado que ingrese su contraseña del sistema para completar la aggiornamento de la aplicación y filtrar los detalles a un servidor forastero.
- DownTroy v1, que utiliza un cuentagotas basado en Go para iniciar el malware DownTroy basado en AppleScript que luego es responsable de descargar scripts adicionales del servidor hasta que se reinicia la máquina.
- CosmicDoor, que utiliza un cargador binario de C++ llamado GillyInjector (igualmente conocido como InjectWithDyld) para ejecutar una aplicación Mach-O benigna e inyectarle una carga útil maliciosa en tiempo de ejecución. Cuando se ejecuta con el indicador –d, GillyInjector activa sus capacidades destructivas y sedimento irrevocablemente todos los archivos en el directorio coetáneo. La carga útil inyectada es una puerta trasera escrita en Nim señal CosmicDoor que puede comunicarse con un servidor forastero para cobrar y ejecutar comandos. Se cree que los atacantes primero desarrollaron una lectura Go de CosmicDoor para Windows, antiguamente de acontecer a las variantes Rust, Python y Nim. Igualmente descarga una suite de robo de scripts de bash señal SilentSiphon.
- RooTroy, que utiliza el cargador Nimcore para iniciar GillyInjector, que luego inyecta una puerta trasera Go señal RooTroy (igualmente conocida como Root Troy V4) para compendiar información del dispositivo, enumerar los procesos en ejecución, interpretar la carga útil de un archivo específico y descargar malware adicional (contando RealTimeTroy) y ejecutarlos.
- RealTimeTroy, que utiliza el cargador Nimcore para iniciar GillyInjector, que luego inyecta una puerta trasera Go señal RealTimeTroy que se comunica con un servidor forastero utilizando el protocolo WSS para interpretar/escribir archivos, obtener información de directorio y proceso, cargar/descargar archivos, finalizar un proceso específico y obtener información del dispositivo.
- SneakMain, que utiliza el cargador Nimcore para iniciar una carga útil de Nim señal SneakMain para cobrar y ejecutar comandos AppleScript adicionales recibidos desde un servidor forastero.
- DownTroy v2, que utiliza un cuentagotas llamado CoreKitAgent para iniciar el cargador Nimcore, que luego inicia DownTroy basado en AppleScript (igualmente conocido como NimDoor) para descargar un script taimado adicional desde un servidor forastero.
- SysPhon, que utiliza una lectura ligera de RustBucket señal SysPhon y SUGARLOADER, un cargador conocido que anteriormente entregó el malware KANDYKORN. SysPhon, igualmente empleado en la campaña Hidden Risk, es un software de descarga escrito en C++ que puede realizar reconocimientos y recuperar una carga útil binaria de un servidor forastero.
 |
| Comportamiento militar del sitio de phishing Teleobjetivo |
SilentSiphon está equipado para compendiar datos de Apple Notes, Telegram, extensiones de navegadores web, así como credenciales de navegadores y administradores de contraseñas, y secretos almacenados en archivos de configuración relacionados con una larga serie de servicios: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes y OpenAI.
«Si perfectamente los videos de las llamadas falsas se grabaron a través de las páginas de phishing de Teleobjetivo fabricadas por el actor, las imágenes de perfil de los participantes de la reunión parecen deber sido obtenidas de plataformas de trabajo o plataformas de redes sociales como LinkedIn, Crunchbase o X», dijo Kaspersky. «Curiosamente, algunas de estas imágenes fueron mejoradas con (OpenAI) GPT-4o».
La campaña GhostHire
La campaña GhostHire, añadió la empresa rusa de ciberseguridad, igualmente se remonta a mediados de 2023, cuando los atacantes iniciaron contacto con los objetivos directamente en Telegram, compartiendo detalles de una propuesta de trabajo pegado con un enlace a un perfil de LinkedIn que se hacía acontecer por reclutadores de empresas financieras con sede en EE. UU. en un intento de dar a las conversaciones un barniz de licitud.
«Luego de la comunicación auténtico, el actor agrega el objetivo a una serie de usuarios para un bot de Telegram, que muestra el logotipo de la empresa suplantada y afirma falsamente que agiliza las evaluaciones técnicas de los candidatos», explicó Kaspersky.
 |
| Proceso de entrega de DownTroy en la campaña GhostHire |
«Luego, el bot envía a la víctima un archivo (ZIP) que contiene un esquema de evaluación de codificación, pegado con un plazo precioso (a menudo en torno a de 30 minutos) para presionar al objetivo para que complete rápidamente la tarea. Esta aprieto aumenta la probabilidad de que el objetivo ejecute el contenido taimado, lo que lleva a un compromiso auténtico del sistema».
El esquema en sí es inofensivo, pero incorpora una dependencia maliciosa en forma de un módulo Go taimado alojado en GitHub (por ejemplo, uniroute), lo que provoca que la secuencia de infección se active una vez que se ejecuta el esquema. Esto incluye primero determinar el sistema eficaz de la computadora de la víctima y entregar una carga útil de subsiguiente etapa adecuada (es proponer, DownTroy) programada en PowerShell (Windows), bash script (Linux) o AppleScript (macOS).
Igualmente se implementan a través de DownTroy en los ataques dirigidos a Windows RooTroy, RealTimeTroy, una lectura Go de CosmicDoor y un cargador basado en Rust llamado Bof que se utiliza para decodificar y exhalar una carga útil de shellcode cifrada almacenada en la carpeta «C:Windowssystem32».
 |
| Prisión militar de infección de Windows en la campaña GhostHire |
«Nuestra investigación indica un esfuerzo sostenido por parte del actor para desarrollar malware dirigido a sistemas Windows y macOS, orquestado a través de una infraestructura unificada de comando y control», dijo Kaspersky. «El uso de IA generativa ha acelerado significativamente este proceso, permitiendo un exposición de malware más apto con una sobrecarga operativa corta».
«La táctica de orientación del actor ha evolucionado más allá de la simple criptomoneda y el robo de credenciales de navegador. Al obtener acercamiento, realizan una adquisición integral de datos en una variedad de activos, incluida infraestructura, herramientas de colaboración, aplicaciones para tomar notas, entornos de exposición y plataformas de comunicación (mensajeros)».
