Microsoft parchea Zero-Days, SSHStalker captura servidores Linux y UNC1069 despliega Deepfakes de IA.
12 de February de 2026Deepfakes y engaños por IA: El grupo norcoreano UNC1069 intensifica sus ataques contra el sector de las criptomonedas
Investigadores de Mandiant (Google) revelan cómo el grupo utiliza videos generados por inteligencia artificial y falsas reuniones de Zoom para robar activos digitales.
La frontera entre la realidad y la ficción digital se vuelve cada vez más peligrosa. El grupo de amenazas vinculado a Corea del Norte, conocido como UNC1069 (también identificado como CryptoCore o MASAN), ha evolucionado sus tácticas de ingeniería social incorporando inteligencia artificial generativa para engañar a profesionales del sector de las criptomonedas y firmas de capital de riesgo.
El señuelo de la IA: De inversores falsos a videos profundos
De acuerdo con el informe técnico publicado este miércoles, UNC1069 ha perfeccionado un esquema de ataque que comienza en redes sociales y plataformas de mensajería como Telegram. Los atacantes suplantan la identidad de ejecutivos reales o fundadores de startups, utilizando incluso cuentas comprometidas de empresarios legítimos para ganar confianza.
La novedad más alarmante es el uso de videos e imágenes "deepfake" generados por IA. Estos se emplean durante el proceso de contacto para validar la identidad falsa del atacante ante la víctima. Una vez establecido el vínculo, los ciberdelincuentes programan reuniones de 30 minutos a través de servicios como Calendly, dirigiendo finalmente a los objetivos hacia falsas plataformas de videoconferencia.
La trampa de "ClickFix" y el malware multiplataforma
El ataque culmina cuando se invita a la víctima a una supuesta reunión de Zoom. Al intentar ingresar, el usuario recibe un mensaje de error que le indica que su software está desactualizado o requiere un complemento específico. Es aquí donde se activa el vector de infección conocido como ClickFix, que induce al usuario a ejecutar comandos o descargar instaladores maliciosos.
La operación despliega un arsenal renovado que incluye siete familias de malware distintas, destacando:
SILENCELIFT: Un backdoor (puerta trasera) minimalista para sistemas Windows y macOS que extrae información técnica del sistema.
CHROMEPUSH: Una herramienta diseñada para el robo de datos del navegador.
SUGARLOADER: Un descargador persistente utilizado para introducir malware adicional de segunda etapa.
Un objetivo puramente financiero
A diferencia de otros grupos estatales enfocados en el espionaje político, la misión de UNC1069 es clara: el robo de fondos. Se estima que este grupo es uno de los sucesores operativos del brazo financiero de Lazarus (APT38), cuya finalidad es evadir las sanciones internacionales mediante la obtención de divisas y criptoactivos para financiar los programas de armamento del régimen de Kim Jong-un.
Recomendaciones para el sector Web3
Los expertos en seguridad advierten que la calidad de los señuelos de IA ha alcanzado un nivel de sofisticación que hace casi imposible detectar el fraude a simple vista. Se recomienda:
Verificar canales de comunicación: Desconfiar de invitaciones a reuniones que provengan exclusivamente de Telegram o cuentas de redes sociales sin verificación previa por otros medios.
Cero descargas en reuniones: No descargar jamás actualizaciones de software o SDKs directamente desde enlaces proporcionados dentro de una ventana de chat de una reunión.
Seguridad de hardware: Utilizar carteras de hardware (hardware wallets) y sistemas de multifactor (MFA) robustos para todas las transacciones de activos digitales.
Esta campaña marca un hito en la "operacionalización" de la inteligencia artificial por parte de actores estatales, transformando herramientas de productividad en armas de alta precisión para el fraude financiero global.