Los investigadores advierten que una unidad del Grupo Lazarus de Corea del Norte con motivación financiera ha estado ejecutando una campaña de ingeniería social que utiliza llamadas falsas de Zoom o Teams contra ejecutivos de alto nivel en criptomonedas y blockchain.
El actor de amenazas, rastreado como BlueNoroff, apuntó a un ejecutivo legal de una firma consultora internacional con una invitación al calendario de Calendly que contenía un enlace de Zoom con un error tipográfico. Esto llevó a la exfiltración de imágenes de la reunión de las transmisiones de las cámaras en vivo, según un Publicación del blog del lunes de Arctic Wolf.
Los piratas informáticos se dirigieron a unos 100 ejecutivos diferentes repartidos en más de 20 países. Alrededor del 40% de las víctimas se encontraban en Estados Unidos, y Singapur y el Reino Unido también se encuentran entre los países más afectados. Los objetivos incluían fundadores de finanzas descentralizadas, operadores de intercambio, desarrolladores de billeteras blockchain y otros, según los investigadores de Arctic Wolf.
Las personas fueron atacadas debido a sus paneles de “acceso directo a claves privadas, infraestructura de billetera y administración de intercambio”, lo que demuestra el objetivo de poder acceder a billeteras criptográficas.
Los investigadores dijeron que los piratas informáticos realizaron un reconocimiento profundo de objetivos seleccionados para hacer que los ataques fueran más creíbles.
«Los atacantes parecen haber realizado un trabajo de investigación detallado antes de organizar cada reunión falsa», dijo a Cybersecurity Dive Ismael Valenzuela, vicepresidente de inteligencia de amenazas de Arctic Wolf. «La capacidad del atacante de completar una llamada falsa de Zoom o Teams con figuras reconocibles de la industria, adaptadas a la red profesional del objetivo específico, representa una potente capacidad de ingeniería social en nombre del actor de la amenaza».
Se registraron más de 80 dominios Zoom o Teams con errores tipográficos durante un período de cinco meses a partir de finales de 2025. Los investigadores también analizaron alrededor de 950 archivos de la infraestructura del atacante, que mostraron cómo las imágenes web robadas se combinaron con imágenes generadas por IA para crear contenido fabricado para futuros ataques de ingeniería social.
La actividad parece consistente con la actividad de BlueNoroff previamente documentada. Investigadores de Cazadora y Kaspersky Han investigado campañas de amenazas anteriores dirigidas a organizaciones Web3.
El blog Huntress documentó un ataque de ingeniería social en 2025 basado en una intrusión en un único punto final. Los funcionarios de Huntress dijeron que la campaña descrita por Arctic Wolf demuestra una importante escalada en las capacidades.
Jon Semon, analista principal de operaciones de seguridad de Huntress, dijo a Cybersecurity Dive: «Puedo decir con confianza que BlueNoroff ha crecido sustancialmente en los seis a ocho meses transcurridos desde nuestro lanzamiento». [research]en términos de herramientas, infraestructura, desarrollo de malware y volumen general de ataques”.
Fuente