Un análisis publicado por Arctic Wolf destapa una campaña dirigida contra organizaciones del ecosistema Web3 y empresas de criptomonedas. La intrusión, detectada inicialmente el 23 de enero de 2026, fue atribuida con alta confianza a BlueNoroff, un subgrupo financiero del conocido Lazarus Group. El ataque perseguía establecer persistencia en dispositivos de alto valor y robar credenciales, tokens de sesión y otros activos sensibles.
Los operadores construyeron una ingeniería social muy pulida: generaron contenido audiovisual convincente usando herramientas de IA y edición, crearon enlaces de reunión falsos y usaron una variación de la técnica ClickFix para manipular lo que la víctima pegaba desde el portapapeles.
Según el informe, desde el clic inicial hasta el compromiso completo, incluyendo establecimiento de C2 y robo de sesiones, la cadena de ataque se completó en menos de cinco minutos.
Fases de la suplantación y el engaño
En la preparación los atacantes suplantaron a personas reales del sector financiero y de Web3. Generaron imágenes faciales con ChatGPT y montaron vídeos semi‑animados con Adobe Premiere Pro 2026 para dar verosimilitud a las llamadas.
A continuación enviaron invitaciones por Calendly —a veces programadas meses adelante— que contenían un enlace a un sitio de reunión que imitaba a Zoom. Al entrar, la víctima veía una interfaz familiar y un interlocutor aparentemente real, que en realidad era material manipulado para ganarse la confianza.
La ventana que activa la trampa
Durante la falsa sesión, ocho segundos después se mostraba un aviso indicando que el SDK estaba obsoleto y un botón de «Actualizar ahora».
Ese botón aplicaba el patrón ClickFix: pedía al usuario copiar y pegar un comando para «solucionar» el problema. El truco residía en que la página incluía un script malicioso que interceptaba el evento de copia del navegador y reemplazaba el contenido por código dañino, de modo que la víctima pegaba sin saberlo instrucciones que desplegaban malware.
Técnicas y herramientas detectadas
La campaña hizo uso de un implante PowerShell sin archivos, un payload de inyección en navegador cifrado con AES y un mecanismo de exfiltración mediante la Telegram Bot API para capturar pantallas.
Arctic Wolf documentó más de 80 dominios de typosquatting registrados entre finales de 2026 y marzo de 2026, y encontró más de 950 archivos en los servidores del atacante que formaban una tubería de producción de deepfakes, combinando metraje de webcams previamente exfiltrado con imágenes generadas por IA.
Alcance geográfico y perfiles de víctima
El análisis reveló más de 100 objetivos repartidos en más de 20 países, con una concentración del 41% en Estados Unidos, 11% en Singapur y 7% en Reino Unido. Aproximadamente el 80% de los blancos operaban en criptomonedas, finanzas blockchain o sectores afines, y el 45% eran directivos como fundadores o CEOs. Los investigadores también observaron que los operadores tendían a trabajar según el horario laboral de la DPRK, lo que respalda la atribución a un actor estatal‑apoyado.
Recomendaciones para defenderse
Frente a esta táctica, las empresas deben endurecer controles básicos: validar siempre los enlaces de reuniones incluso cuando provengan de calendarios legítimos, desconfiar de actualizaciones solicitadas durante videollamadas y aplicar autenticación multifactor en servicios críticos. Es crucial desplegar soluciones EDR que detecten ejecución de PowerShell anómala y bloquear dominios de tipo typosquatting. También conviene restringir extensiones de navegador y proteger las claves de las wallet mediante almacenamiento en hardware.
Medidas operativas rápidas
Además de controles técnicos, las organizaciones deben impulsar formación específica para ejecutivos y equipos sensibles: simular escenarios de reuniones falsas, revisar procesos de aceptación de invitaciones y establecer procedimientos de verificación cuando una reunión es solicitada con mucha antelación. La combinación de prevención técnica y cultura de seguridad reduce la superficie de ataque que explotan campañas tan dirigidas.
En resumen, la investigación de Arctic Wolf —documentada en su informe publicado el 27 de abril— muestra una operación compleja y sostenida que reutiliza material robado para fabricar nuevos engaños. La rapidez de la cadena de compromiso y la sofisticación de la suplantación subrayan la necesidad de unir detección avanzada, buenas prácticas de higiene digital y concienciación para proteger activos críticos en el mundo de las criptomonedas y Web3.
