Google Cloud detecta malware de criptomonedas de Corea del Norte

Mandiant, que opera bajo Google Cloud, ha identificado una campaña cibernética vinculada a Corea del Norte en aumento, dirigida a empresas de criptomonedas y fintech mediante el uso de malware avanzado e ingeniería social potenciada por IA.

El grupo de amenazas, rastreado como UNC1069, desplegó siete familias distintas de malware diseñadas para recolectar y exfiltrar datos sensibles, lo que marca una expansión significativa de la actividad que Mandiant comenzó a monitorear en 2018.

“Esta investigación reveló una intrusión personalizada que resultó en el despliegue de siete familias únicas de malware, incluyendo un nuevo conjunto de herramientas diseñado para capturar datos del host y de la víctima: SILENCELIFT, DEEPBREATH y CHROMEPUSH,”

dijo Mandiant en su informe.

La campaña utilizó cuentas de Telegram comprometidas y organizó reuniones falsas en Zoom con videos deepfake generados por IA, engañando a las víctimas para que ejecutaran comandos ocultos en los llamados ataques ClickFix.

Dos variantes de malware identificadas recientemente, CHROMEPUSH y DEEPBREATH, fueron diseñadas para evadir protecciones clave del sistema operativo y extraer datos personales. Tras el anuncio, el precio de las acciones de Alphabet no sufrió cambios y se mantuvo en $XX.