Hackers vinculados a Corea del Norte están utilizando llamadas de Zoom falsas para vaciar carteras de criptomonedas, en lo que los investigadores de seguridad denominan una amenaza casi diaria para la comunidad cripto. Según múltiples informes de seguridad, la campaña ya ha obtenido aproximadamente 300 millones de dólares en fondos robados y muestra pocas señales de desaceleración.
Reuniones de Zoom falsas utilizadas para vaciar carteras
Según Security Alliance (SEAL) y otros investigadores, los atacantes primero contactan a los objetivos a través de aplicaciones de mensajería como Telegram. Luego invitan a las víctimas a una videollamada que parece legítima.
Durante la llamada, los impostores afirman que hay un problema con el sonido o el video y ofrecen una "solución": un archivo o un enlace que parece ser una actualización oficial. Cuando la víctima ejecuta el archivo, se instala malware y comienza a robar credenciales, datos del navegador y claves criptográficas.
Se reportan varios ataques cada día, y muchos siguen el mismo patrón. Los investigadores dicen que estas llamadas escenificadas permiten a los atacantes eludir la precaución normal porque las personas tienden a confiar en alguien a quien ven en cámara.
SEAL está rastreando múltiples intentos DIARIOS de actores norcoreanos que utilizan tácticas de "Zoom falso" para propagar malware y escalar su acceso a nuevas víctimas.
La ingeniería social es la raíz del ataque. Lee el hilo a continuación para obtener consejos sobre cómo mantenerse seguro. https://t.co/2SQGdtPKGx
— Security Alliance (@_SEAL_Org) 13 de diciembre de 2025
NimDoor y otras cepas de malware apuntan a macOS y carteras
Según los informes, una cepa vinculada a estos esquemas es NimDoor, una puerta trasera para macOS que puede recolectar elementos del llavero, contraseñas almacenadas en el navegador y datos de mensajería.
Los equipos de seguridad vinculan NimDoor y herramientas relacionadas con BlueNoroff, un grupo conectado a la red del Grupo Lazarus. BlueNoroff tiene un largo historial de ataques a empresas e intercambios de criptomonedas.
Una vez que el malware está instalado, las carteras se vacían en minutos. Las víctimas a menudo descubren el robo solo después de ver transacciones salientes en la cadena de bloques.
Deepfakes e invitaciones de calendario hacen que las estafas sean más convincentes
Los investigadores advierten que los atacantes no solo están usando nombres falsos. También están desplegando herramientas de video y voz deepfake asistidas por IA para hacerse pasar por ejecutivos o contactos conocidos.
Los atacantes a veces envían invitaciones de calendario que parecen solicitudes de reunión genuinas de plataformas como Calendly, dirigiendo a los objetivos a enlaces de Zoom controlados por el atacante.
El nivel de ingeniería social hace que las llamadas parezcan urgentes y oficiales, lo que reduce el tiempo que las víctimas tardan en cuestionar lo que se les pide que instalen.
Los atacantes se dirigen tanto a individuos como a pequeñas empresas
Los informes han revelado que las víctimas incluyen traders individuales, empleados de startups y pequeños equipos en empresas de criptomonedas. Las pérdidas son concentradas pero generalizadas, con estimaciones alrededor de 300.000.000 de dólares.
Algunas víctimas han perdido fondos vinculados a carteras de navegador y carteras calientes (hot wallets); otros tuvieron frases de recuperación capturadas y utilizadas para vaciar cuentas.
Los equipos de seguridad instan a actuar rápidamente cuando se ofrece una actualización sospechosa durante una sesión remota: advierten no ejecutarla, verificar por separado y tratar las soluciones de reunión no solicitadas como de alto riesgo.
Imagen destacada de Unsplash, gráfico de TradingView
