Lo más relevante:
- Una campaña de ciberataque altamente dirigida ha empleado una videollamada falsa o deepfakes y una aplicación maliciosa disfrazada como “solución de audio de Zoom” para distribuir malware específicamente diseñado para comprometer sistemas macOS. El engaño inicia con una invitación a una reunión falsa de Zoom. El enlace dirige a las víctimas a descargar un instalador que, en realidad, despliega una carga maliciosa.
- La técnica de intrusión coincide exactamente con un modus operandi previamente documentado y atribuido al grupo BlueNoroff. Este es un subgrupo especializado en objetivos financieros del colectivo Lazarus, patrocinado por Corea del Norte. Este grupo es conocido por ataques complejos dirigidos a instituciones financieras, intercambios de criptomonedas y empresas de tecnología.
- Este incidente ocurre en un momento en el que las estafas de phishing y suplantación de identidad. Potenciadas por herramientas de inteligencia artificial, han alcanzado una nueva escala de sofisticación y efectividad. Según datos consolidados de 2025, estas tácticas impulsaron las pérdidas globales relacionadas con criptomonedas a un récord histórico de 17 mil millones de dólares en el año. Marcando un aumento significativo en el impacto económico del cibercrimen focalizado en activos digitales.
Células norcoreanas perfeccionan el robo de activos mediante ‘Deepfakes’ en tiempo real
Los grupos de ciberespionaje vinculados a la República Popular Democrática de Corea (RPDC), como el sofisticado brazo BlueNoroff, han escalado sus tácticas de infiltración mediante el uso de videollamadas en vivo potenciadas por inteligencia artificial generativa o deepfakes. Según denunció recientemente Martin Kuchař, cofundador de BTC Prague, los atacantes están comprometiendo cuentas de Telegram para establecer contacto con desarrolladores y empleados de firmas Web3.
🚨Urgent Security Warning: Sophisticated Phishing Attack on Crypto Community‼️
A high-level hacking campaign is currently targeting Bitcoin and crypto users. I have been personally affected via a compromised Telegram account.
The Attack Vector:
– Attackers initiate a Zoom or…— Martin Kuchař (@kucharmartin_) January 22, 2026
Bajo el pretexto de una entrevista técnica o una alianza estratégica, los hackers inician llamadas en plataformas como Zoom o Microsoft Teams. Donde emplean videos deepfake de alta fidelidad para suplantar la identidad de ejecutivos conocidos o perfiles profesionales legítimos.
‼️🇰🇵 Another North Korean hacker using AI to alter his face caught while trying to infiltrate Bitso.
Meet "Sebastian," a software engineer from Colombia who can't speak Spanish. Strange, right? pic.twitter.com/XdsEGBUlpi
— International Cyber Digest (@IntCyberDigest) November 7, 2025
El modus operandi se basa en una vulnerabilidad técnica simulada. Durante la sesión, el atacante afirma tener problemas de audio y solicita a la víctima la instalación de un supuesto “complemento de soporte” o un script de actualización del SDK de Zoom.
🚨North Korean Hackers Tricked by Fake Remote-Work Laptops
North Korean operators were caught in real time after researchers from BCA LTD, NorthScan, and ANYRUN lured Lazarus Group’s Famous Chollima team with fake remote-work laptops.
The attackers believed they had access to… pic.twitter.com/UiUIagC0Ob
— Hackmanac (@H4ckmanac) December 3, 2025
En realidad, este archivo es un malware multiplataforma (frecuentemente dirigido a macOS) que, una vez ejecutado, otorga acceso total al sistema. Esta brecha permite a los operadores de Lazarus o BlueNoroff exfiltrar claves privadas, vaciar billeteras de Bitcoin y tomar el control de cuentas de mensajería. Así expanden la red de infección hacia otros contactos de la industria.
2025, el año de los $17.000 millones:
La sofisticación de estas estafas ha llevado las pérdidas globales en el ecosistema cripto a niveles históricos. Según el Reporte de Criptocrimen 2026 de Chainalysis, las estafas basadas en IA y suplantación de identidad catapultaron las pérdidas a un récord de $17.000 millones de dólares en 2025.
Los datos revelan una tendencia alarmante. Las operaciones que utilizan herramientas de IA son 4.5 veces más rentables que las estafas tradicionales. Con ingresos diarios medios que superan los $4.800 por operación.
🚨 Crypto workers beware 🚨
North Korea–linked hackers are using deepfake video calls to impersonate trusted contacts.
They fake a Zoom “audio issue,” send a bogus fix, and install macOS malware.
This is AI-powered social engineering—live.
Seeing a face ≠ trust.
— Hulk_ (@captainfunone) January 27, 2026
El reporte subraya que las estafas por suplantación experimentaron un crecimiento explosivo del 1,400% interanual. El uso de clonación de voz y deepfakes ha neutralizado las defensas convencionales de los usuarios, quienes tienden a confiar en la verificación visual.
Ante este panorama, firmas de análisis y autoridades federales instan a los profesionales del sector a implementar protocolos de “confianza cero” (Zero Trust). Verificando cualquier solicitud de instalación de software a través de canales secundarios y utilizando herramientas de detección de medios sintéticos antes de proceder con transacciones o descargas críticas.
El AppleScript norcoreano que desmantela la seguridad de macOS
La metodología de infiltración identificada por Martin Kuchař presenta una correlación técnica casi absoluta con los protocolos de ataque documentados por la firma de ciberseguridad Huntress. El vector de ataque se inicia con una fase de ingeniería social en Telegram. El objetivo o víctimas es conducido a una sesión de videoconferencia en dominios de Zoom falsificados (typosquatting).
🚨 Deepfake crypto scams are getting scarier.
🟦 Hackers linked to North Korea are using AI deepfake video calls to impersonate trusted contacts and trick crypto professionals into installing malware disguised as Zoom audio fixes.#CryptoSecurity #AI
— Deny (@Denywin0) January 27, 2026
Una vez establecida la conexión mediante deepfakes, los operadores ejecutan la fase de engaño técnico, coaccionando al usuario para que instale una supuesta corrección de audio. En realidad, actúa como el primer eslabón de una infección de macOS en múltiples etapas. El núcleo del ataque reside en un AppleScript malicioso diseñado para evadir las defensas convencionales de Apple.
Security Alert:
North Korea-linked hackers deploy deepfake video calls to socially engineer crypto employees for malware access. Stay vigilant—AI scams are targeting the industry hard.#NameCoinNews #NCN #CryptoSecurity #Web3Safety #DeFi pic.twitter.com/jGsPL0WGUG
— NameCoinNews (@NameCoinNews_) January 27, 2026
Tras su ejecución, el script realiza tres acciones críticas de forma automatizada:
- Ofuscación Forense: Desactiva de inmediato el historial de la terminal (shell history) para borrar cualquier rastro de los comandos que se ejecutarán posteriormente.
- Preparación del Entorno: Detecta si el sistema utiliza Apple Silicon (chips M1, M2, M3) e instala forzosamente Rosetta 2. Esta capa de traducción permite que el malware, frecuentemente compilado para arquitecturas Intel, se ejecute sin fricciones en los modelos de Mac más recientes.
- Escalada de Privilegios: Mediante ventanas de diálogo persistentes que imitan al sistema operativo, el script solicita repetidamente la contraseña del usuario hasta obtener privilegios de administrador. Otorgando al atacante acceso absoluto al núcleo del sistema.
7/8⚠️ Security Alerts• North Korea: Hackers are using AI Deepfakes in video calls to trick crypto workers into installing malware. • Solana: Solar's X account was compromised. • Clawdbot: API leak risk detected.
— SensiRibbed (@SensiRibbed) January 27, 2026
El brazo financiero de Pyongyang en la Web3:
Esta campaña ha sido vinculada directamente al Grupo Lazarus, la unidad de ciberespionaje de élite de Corea del Norte. A diferencia de otros grupos de ciberdelincuencia que buscan el secuestro de datos (ransomware), Lazarus ha refinado su ingeniería social para atacar de forma quirúrgica a desarrolladores de protocolos y administradores de tesorerías cripto. El objetivo es dual: la extracción inmediata de activos digitales para el financiamiento estatal y la captura de credenciales de acceso que permitan comprometer la integridad de redes blockchain enteras.
