La más reciente investigación de Mandiant expone una intensificación sostenida de campañas de ingeniería social atribuidas al grupo UNC1069, un actor con presuntos vínculos con Corea del Norte, enfocado en compañías de criptomonedas, desarrolladores de software y firmas de capital de riesgo. El elemento central es la implantación simultánea de siete familias de malware, diseñadas para capturar información sensible del sistema, credenciales corporativas y datos de billeteras digitales. Como ejemplo concreto, se detectaron herramientas inéditas como SILENCELIFT, CHROMEPUSH y DEEPBREATH, capaces de recolectar datos del host, evadir controles del sistema operativo y exfiltrar información sin alertar a soluciones de seguridad tradicionales.
Uno de los aspectos más relevantes de la operación es el uso avanzado de inteligencia artificial para potenciar los engaños. Según Mandiant, los atacantes emplearon reuniones falsas de Zoom con videos deepfake y cuentas de Telegram previamente comprometidas para establecer confianza con ejecutivos y fundadores. Este enfoque permite personalizar los ataques según el perfil de la víctima, incrementando su tasa de éxito. Entre las ventajas operativas para los atacantes se encuentra la automatización del engaño y la reducción de costos logísticos. Sin embargo, la dependencia de herramientas de IA también introduce riesgos, como inconsistencias visuales o errores técnicos que pueden ser detectados por equipos entrenados.
El caso más ilustrativo fue el uso de una cuenta real de Telegram perteneciente a un fundador de criptomonedas para iniciar contacto directo con una víctima. Durante una videollamada falsa, el atacante alegó problemas de audio y solicitó ejecutar supuestos comandos de diagnóstico. Esta técnica, conocida como ataque ClickFix, incorporaba un único comando oculto que activaba la cadena de infección. El beneficio para los criminales es la eliminación de enlaces sospechosos o archivos adjuntos. La desventaja es que requiere interacción activa del usuario, lo que limita su efectividad frente a perfiles con protocolos estrictos de ciberseguridad.
Desde el punto de vista técnico, CHROMEPUSH y DEEPBREATH destacan por su capacidad para evadir componentes clave del sistema operativo y acceder a datos personales, historiales de navegación y credenciales almacenadas. Estas herramientas permiten establecer persistencia silenciosa y canalizar información hacia servidores remotos sin generar tráfico evidente. Para las empresas, la principal ventaja de conocer estos vectores es la posibilidad de reforzar controles de ejecución, segmentación de red y monitoreo de procesos. El principal reto es que estos malwares están diseñados para parecer actividades legítimas, dificultando su detección temprana en entornos corporativos complejos.
Este patrón de ataques se enmarca en una trayectoria sostenida del ecosistema norcoreano de ciberamenazas, monitoreado por Mandiant desde 2018. La evolución reciente confirma que la inteligencia artificial se ha convertido en un acelerador operativo clave. No obstante, los antecedentes también muestran impactos financieros reales: en 2025, desarrolladores infiltrados lograron sustraer cerca de 900.000 dólares de startups cripto, y el grupo Lazarus fue vinculado al robo de 1.400 millones de dólares a Bybit. La principal conclusión es clara: la sofisticación aumenta, pero también la necesidad de defensa proactiva y capacitación interna.
Descargo de responsabilidad: La información presentada en este artículo no constituye asesoramiento financiero, de inversión, comercial ni de ningún otro tipo, y refleja únicamente la opinión del autor. El contenido tiene fines informativos y educativos. Las imágenes utilizadas son exclusivamente ilustrativas y no deben considerarse como base para la toma de decisiones financieras o de inversión. Al utilizar este sitio, el lector acepta que no asumimos responsabilidad alguna por pérdidas, daños o perjuicios derivados del uso, interpretación o dependencia de la información o imágenes aquí expuestas.