Hackers norcoreanos utilizan llamadas maliciosas de Zoom para atacar a usuarios de criptomonedas en Telegram

Los hackers norcoreanos están utilizando cada vez más reuniones engañosas por Zoom para comprometer a las víctimas y robar criptoactivos, según la organización sin ánimo de lucro de ciberseguridad Security Alliance (SEAL).

Estas maliciosas reuniones de Zoom, que a menudo tienen como objetivo a figuras criptográficas de alto nivel, se han convertido en un suceso diario, advirtió el equipo SEAL en una reciente publicación de X.

"SEAL está siguiendo múltiples intentos DIARIOS de actores norcoreanos utilizando tácticas de 'Fake Zoom' para propagar malware y aumentar su acceso a nuevas víctimas. La ingeniería social está en la raíz del ataque", escribió el grupo.

En una publicación separada publicada ese mismo día, la investigadora de ciberseguridad Taylor Monahan explicó que este vector de ataque ya ha agotado más de 300 millones de dólares de las carteras de usuarios desprevenidos.

Hackers norcoreanos utilizan Zoom para enviar scripts maliciosos

La estafa suele empezar con personas malintencionadas que contactan a través de una cuenta de Telegram que pertenece a alguien que la víctima conoce.

Como la cuenta es familiar, la víctima se ve engañada en una falsa sensación de confianza y finalmente se ve arrastrada a una conversación informal que conduce a una invitación por videollamada por Zoom.

Los hackers comparten entonces un enlace malicioso disfrazado para parecer una invitación estándar de Zoom. En esa página, las víctimas pueden ver lo que parece ser su contacto, junto con supuestos compañeros o parejas.

Según Monahan, no son deepfakes, sino vídeos reales grabados de hackeos anteriores o fuentes públicas como podcasts.

Una vez que comienza la llamada, los hackers fingen tener problemas de audio y convencen a la víctima de que se necesita un parche para resolver el problema.

A la víctima se le envía entonces un archivo para instalar, a menudo llamado algo como "Zoom Update SDK.scpt", que ejecuta código malicioso de AppleScript. En otros casos, se pide a las víctimas que copien y peguen una solución en su terminal.

"La 'actualización' suele ser un 'SDK.scpt de actualización de Zoom' que se abre o ejecuta en AppleScript. Hay muchos espacios en blanco para ocultar el código malicioso. En otros casos copias y pegas la 'solución'. Dice que ha tenido éxito. Pero no resuelve el problema. Así que al final reprogramas", explicó Monahan.

Lo que la víctima no se da cuenta es que el malware ya está activo porque el script malicioso infecta silenciosamente el sistema y comienza a exfiltrar datos sensibles, robar contraseñas, wallets criptomonedas almacenados en el navegador e incluso acceso total a la cuenta de Telegram del usuario.

Cómo prevenir pérdidas

Como medida posterior al incidente, Monahan aconseja a cualquiera que haya hecho clic en dicho enlace o abierto un archivo sospechoso que se desconecte inmediatamente del WiFi y apague el dispositivo afectado.

Utilizando un dispositivo separado y sin compromisos, las víctimas deben transferir sus activos cripto a nuevas carteras, cambiar todas las credenciales de acceso y activar la autenticación en dos pasos siempre que sea posible.

También subrayó la importancia de bloquear las cuentas de Telegram, aconsejando a los usuarios iniciar sesión desde el teléfono, ir a la configuración, terminar todas las sesiones activas excepto la actual, cambiar la contraseña y habilitar la autenticación multifactor.

Lo más crítico fue que Monahan instó a las víctimas a alertar a sus contactos de inmediato, ya que los atacantes suelen utilizar el acceso a cuentas de Telegram para identificar y atacar a la siguiente ronda de víctimas.

"Si hackean tu telegrama, tienes que DECÍRSELO A TODO EL MUNDO CUANTO ANTES. Estás a punto [to] hackear a tus amigos. Por favor, deja tu orgullo a un lado y GRITA sobre ello", añadió.

Un vector de ataque recurrente

Los hackers norcoreanos, que se cree están detrás de algunos de los mayores robos de criptomonedas de los últimos años, incluido el hackeo de 1.500 millones de dólares a Bybit, han utilizado cada vez más estas tácticas maliciosas de Zoom para infiltrarse en objetivos de alto perfil a lo largo de 2025.

Uno de esos casos en septiembre involucró al cofundador de THORChain, JP Thor, que supuestamente perdió alrededor de 1,3 millones de dólares tras caer en una estafa similar.

Un script malicioso activado durante la llamada falsa de Zoom accedió a su almacenamiento de iCloud, extrajo sus credenciales de la cartera MetaMask y drenó fondos, todo ello sin activar ninguna alerta de seguridad ni advertencias de administrador.

Más allá de las llamadas por Zoom, estos hackers incluso han empleado otros vectores de ataque complejos, como incrustar malware directamente en Ethereum y contratos inteligentes BNB para extraer criptomonedas de forma sigilosa.