Los hackers norcoreanos falsificaron reuniones de Zoom para robar activos criptográficos, con pérdidas acumuladas que superan los 300 millones de dólares

Las agencias de ciberseguridad han revelado que los ciberdelincuentes norcoreanos están llevando a cabo ataques de ingeniería social mediante “reuniones falsas de Zoom / Teams”, robando en masa activos de carteras de criptomonedas, con pérdidas acumuladas que superan los 300 millones de dólares. La empresa de seguridad Security Alliance (SEAL) afirma que actualmente casi a diario se pueden rastrear múltiples incidentes relacionados, y los profesionales y usuarios activos del sector de las criptomonedas se han convertido en objetivos prioritarios.

Este método de ataque fue divulgado por la investigadora de seguridad de MetaMask, Taylor Monahan. Ella señala que los hackers norcoreanos utilizan escenarios de reuniones en línea altamente realistas para engañar continuamente a las víctimas y hacer que instalen malware, lo que les permite obtener directamente las claves privadas, contraseñas y datos internos de seguridad, y vaciar rápidamente las carteras de criptomonedas.

Desde el proceso delictivo, los ataques generalmente comienzan en grupos de Telegram. Los hackers se hacen pasar por “personas conocidas” de la víctima, envían mensajes a sus contactos y utilizan herramientas comunes como Calendly para enviar invitaciones a reuniones de Zoom. Una vez iniciada la reunión, la víctima puede ver imágenes de video de “conocidos” y “miembros del equipo”, pero en realidad estas imágenes son videos grabados previamente y no simples deepfakes.

Durante la llamada, los hackers suelen alegar “problemas de audio” o “la reunión no se escucha claramente” para inducir a la víctima a descargar lo que supuestamente son parches o actualizaciones SDK. En realidad, estos archivos contienen malware, generalmente troyanos de acceso remoto (RAT). Una vez instalado, los atacantes pueden controlar remotamente el dispositivo, robar credenciales de inicio de sesión, claves privadas y realizar transferencias rápidas de fondos en las carteras de criptomonedas.

Los expertos en seguridad señalan que esto marca una actualización en las estrategias de los hackers norcoreanos en el ámbito del crimen criptográfico. Anteriormente, organizaciones como el infame grupo Lazarus dependían más de ataques a exchanges, sitios de phishing o infiltraciones mediante ofertas de empleo falsas. Recientemente, han cambiado claramente a ataques de ingeniería social de “alto nivel de confianza” con mayor tasa de éxito.

Hace poco, se acusó al grupo Lazarus de planear un ataque contra la mayor bolsa de criptomonedas de Corea del Sur, causando pérdidas de aproximadamente 30.6 millones de dólares. Datos de varias fuentes indican que se espera que el robo global de criptomonedas alcance los 2,17 mil millones de dólares para mediados de 2025, y las carteras personales se están convirtiendo en el eslabón más vulnerable.

Los expertos advierten que si en una reunión de video se solicita descargar parches o herramientas, se debe interrumpir inmediatamente la reunión, desconectar la red y apagar el dispositivo, además de transferir los activos de la cartera y realizar verificaciones de seguridad para reducir el riesgo de pérdidas potenciales.