Google advierte sobre campaña de malware impulsada por IA de Corea del Norte dirigida a criptomonedas y DeFi

En breve

• Los actores norcoreanos están dirigiendo ataques de phishing en la industria de las criptomonedas utilizando deepfakes generados por IA y reuniones falsas en Zoom, advirtió Google.
• Más de 2 mil millones de dólares en criptomonedas fueron robados por hackers de DPRK en 2025.
• Los expertos advierten que las identidades digitales confiables se están convirtiendo en el eslabón más débil.

El equipo de seguridad de Google en Mandiant ha advertido que los hackers norcoreanos están incorporando deepfakes generados por inteligencia artificial en reuniones de video falsas como parte de ataques cada vez más sofisticados contra empresas de criptomonedas, según un informe publicado el lunes. Mandiant dijo que investigó recientemente una intrusión en una empresa fintech que atribuye a UNC1069, o “CryptoCore”, un actor de amenazas vinculado con alta confianza a Corea del Norte. El ataque utilizó una cuenta comprometida de Telegram, una reunión falsa en Zoom y una técnica llamada ClickFix para engañar a la víctima y que ejecutara comandos maliciosos. Los investigadores también encontraron evidencia de que se usó video generado por IA para engañar al objetivo durante la reunión falsa.

El actor norcoreano UNC1069 está dirigiendo ataques en el sector de las criptomonedas con ingeniería social habilitada por IA, deepfakes y 7 nuevas familias de malware.

Obtén los detalles sobre sus TTPs y herramientas, así como IOCs para detectar y buscar la actividad detallada en nuestra publicación 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F

— Mandiant (parte de Google Cloud) (@Mandiant) 9 de febrero de 2026

“Mandiant ha observado que UNC1069 emplea estas técnicas para atacar tanto a entidades corporativas como a individuos dentro de la industria de las criptomonedas, incluyendo empresas de software y sus desarrolladores, así como firmas de capital de riesgo y sus empleados o ejecutivos”, indica el informe. Campaña de robo de criptomonedas en Corea del Norte La advertencia llega en un momento en que los robos de criptomonedas en Corea del Norte continúan creciendo en escala. A mediados de diciembre, la firma de análisis blockchain Chainalysis afirmó que hackers norcoreanos robaron 2.020 millones de dólares en criptomonedas en 2025, un aumento del 51% respecto al año anterior. La cantidad total robada por actores vinculados con DPRK ahora alcanza aproximadamente 6.750 millones de dólares, incluso cuando el número de ataques ha disminuido. Los hallazgos resaltan un cambio más amplio en la forma en que operan los ciberdelincuentes vinculados a estados. En lugar de depender de campañas masivas de phishing, CryptoCore y grupos similares se enfocan en ataques altamente personalizados que explotan la confianza en interacciones digitales rutinarias, como invitaciones de calendario y llamadas de video. De esta manera, Corea del Norte logra robos mayores mediante menos incidentes, pero más dirigidos. Según Mandiant, el ataque comenzó cuando la víctima fue contactada en Telegram por lo que parecía ser un ejecutivo de criptomonedas conocido, cuyo cuenta ya había sido comprometida. Tras establecer confianza, el atacante envió un enlace de Calendly para una reunión de 30 minutos que dirigía a la víctima a una llamada falsa en Zoom alojada en la infraestructura propia del grupo. Durante la llamada, la víctima reportó ver lo que parecía ser un video deepfake de un CEO de criptomonedas conocido. Una vez iniciada la reunión, los atacantes afirmaron que había problemas de audio e instruyeron a la víctima a ejecutar comandos de “solución de problemas”, una técnica ClickFix que finalmente activó la infección por malware. El análisis forense identificó posteriormente siete familias distintas de malware en el sistema de la víctima, desplegadas en un intento aparente de obtener credenciales, datos del navegador y tokens de sesión para robo financiero y suplantación futura.

Suplantación mediante deepfake Fraser Edwards, cofundador y CEO de la firma de identidad descentralizada cheqd, afirmó que el ataque refleja un patrón que está viendo repetidamente contra personas cuyo trabajo depende de reuniones remotas y coordinación rápida. “La efectividad de este enfoque proviene de lo poco que tiene que parecer inusual”, dijo Edwards. “El remitente es familiar. El formato de la reunión es rutinario. No hay adjuntos de malware ni explotaciones evidentes. Se aprovecha la confianza antes de que cualquier defensa técnica pueda intervenir.” Edwards explicó que el video deepfake suele introducirse en puntos de escalada, como llamadas en vivo, donde ver una cara conocida puede anular las dudas creadas por solicitudes inesperadas o problemas técnicos. “Ver lo que parece ser una persona real en cámara suele ser suficiente para anular la duda generada por una solicitud inesperada o un problema técnico. El objetivo no es una interacción prolongada, sino solo lo suficiente de realismo para llevar a la víctima al siguiente paso”, afirmó. Agregó que la IA ahora se usa para apoyar la suplantación fuera de llamadas en vivo. “Se usa para redactar mensajes, corregir el tono de voz y reflejar la forma en que alguien normalmente se comunica con colegas o amigos. Eso hace que los mensajes rutinarios sean más difíciles de cuestionar y reduce la probabilidad de que un destinatario pause lo suficiente para verificar la interacción”, explicó. Edwards advirtió que el riesgo aumentará a medida que se introduzcan agentes de IA en la comunicación y toma de decisiones diarias. “Los agentes pueden enviar mensajes, programar llamadas y actuar en nombre de los usuarios a velocidad de máquina. Si esos sistemas son abusados o comprometidos, el audio o video deepfake puede desplegarse automáticamente, convirtiendo la suplantación de manual a un proceso escalable”, afirmó. Es “irrealista” esperar que la mayoría de los usuarios sepan cómo detectar un deepfake, dijo Edwards, quien añadió que “la respuesta no es pedir a los usuarios que presten más atención, sino construir sistemas que los protejan por defecto. Eso implica mejorar cómo se señala y verifica la autenticidad, para que los usuarios puedan entender rápidamente si el contenido es real, sintético o no verificado sin depender del instinto, la familiaridad o la investigación manual.”