Expertos del Equipo de An\u00e1lisis e Investigaci\u00f3n Global de Kaspersky (GReAT) conversaron en la Cumbre de Analistas de Seguridad 2025 sobre las actividades del grupo BlueNoroff APT, que creemos que es un subgrupo de Lazarus. En particular, describieron en detalle dos campa\u00f1as que dirigen sus ataques a desarrolladores y ejecutivos de la industria de las criptomonedas: GhostCall y GhostHire.<\/p>\n
Los actores de BlueNoroff est\u00e1n interesados principalmente en obtener ganancias econ\u00f3micas y, en la actualidad, prefieren atacar a los miembros del personal de organizaciones que trabajan con cadenas de bloques (blockchain). Los objetivos se eligen con cuidado: est\u00e1 claro que los atacantes se preparan exhaustivamente para cada ataque. Las campa\u00f1as GhostCall y GhostHire son muy diferentes entre s\u00ed, pero dependen de una infraestructura de administraci\u00f3n com\u00fan. Por eso, nuestros expertos las han unido en un solo informe.<\/p>\n
La campa\u00f1a GhostCall se dirige principalmente a ejecutivos de varias organizaciones. Los atacantes intentan infectar sus ordenadores con malware dise\u00f1ado para robar criptomonedas, credenciales y secretos con los que puedan estar trabajando las v\u00edctimas. La principal plataforma que les interesa a los operadores de GhostCall es macOS, probablemente porque los dispositivos Apple son populares entre los directivos de las empresas modernas.<\/p>\n
Los ataques GhostCall comienzan con una ingenier\u00eda social bastante sofisticada: los atacantes se hacen pasar por inversores (a veces utilizando cuentas robadas de empresarios reales e incluso fragmentos de videollamadas reales con ellos) e intentan concertar una reuni\u00f3n para conversar sobre una asociaci\u00f3n o inversi\u00f3n. El objetivo es atraer a la v\u00edctima a un sitio web que imita a Microsoft Teams o Zoom. All\u00ed les espera una trampa est\u00e1ndar: el sitio web muestra una notificaci\u00f3n que indica que es necesario actualizar el cliente o solucionar alg\u00fan problema t\u00e9cnico. Para hacer esto, se pide a la v\u00edctima que descargue y ejecute un archivo, lo que provoca la infecci\u00f3n del ordenador.<\/p>\n
Los detalles sobre las distintas cadenas de infecci\u00f3n se pueden encontrar en la publicaci\u00f3n del blog del sitio web Securelist<\/a> (hay al menos siete cadenas de infecci\u00f3n en esta campa\u00f1a, cuatro de las cuales nuestros expertos no hab\u00edan detectado anteriormente), junto con los indicadores de vulneraci\u00f3n.<\/p>\n GhostHire es una campa\u00f1a que se dirige a desarrolladores que trabajan con cadenas de bloques. El objetivo final es el mismo (infectar los ordenadores con malware), pero la maniobra es diferente. En este caso, los atacantes atraen a las v\u00edctimas ofreci\u00e9ndoles oportunidades de empleo con condiciones favorables. Durante las negociaciones, le dan la direcci\u00f3n de un bot de Telegram al desarrollador, que, a su vez, le proporciona un enlace a GitHub con una tarea de prueba u ofrece descargarla en un archivo comprimido. Para evitar que el desarrollador tenga tiempo de pensarlo, la tarea tiene un plazo bastante ajustado. Mientras realiza la prueba, el ordenador de la v\u00edctima se infecta con malware.<\/p>\n Las herramientas utilizadas por los atacantes en la campa\u00f1a GhostHire y sus indicadores de vulneraci\u00f3n tambi\u00e9n se pueden encontrar en la publicaci\u00f3n del blog de Securelist<\/a>.<\/p>\n Si bien GhostCall y GhostHire se dirigen a desarrolladores y ejecutivos de empresas espec\u00edficos, los atacantes est\u00e1n interesados principalmente en la infraestructura operativa. Por lo tanto, la tarea de garantizar la protecci\u00f3n contra estos ataques recae sobre los especialistas en seguridad de TI de las empresas. Por eso, te recomendamos lo siguiente:<\/p>\n La concienciaci\u00f3n peri\u00f3dica de todo el personal de la empresa sobre los trucos que utilizan los atacantes modernos. La formaci\u00f3n debe tener en cuenta la naturaleza del trabajo de especialistas espec\u00edficos, incluidos los desarrolladores y administradores. Esta formaci\u00f3n se puede organizar mediante una plataforma especializada en l\u00ednea, como Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\nLa campa\u00f1a GhostHire<\/h2>\n
\u00bfC\u00f3mo puedes protegerte de los ataques de GhostCall y GhostHire?<\/h2>\n