El grupo APT BlueNoroff mantiene dos campañas activas desde abril

En el Security Analyst Summit, realizado por Kaspersky en Tailandia, la compañía ha explicado que el grupo APT BlueNoroff, una célula de Lazarus, ha ampliado su campaña SnatchCrypto a través de dos campañas, GhostCall y GhostHire, que se arrancaron en el mes de abril y todavía están activas. Como SnatchCrypto, se dirigen al sector de las criptomonedas a escala global.

GhostCall se dirige a dispositivos macOS, con un ataque de ingeniería social que arranca en un primer contacto a través de Telegram y en el que pretender ser inversores de capital riesgo. Redirigen a las víctimas a páginas de phishing que imitan las de Zoom o Teams, donde intentan que actualicen la aplicación por un fallo de audio. Una actualización que lleva de regalo un script malicioso.

Por su parte, en GhostHire se hacen pasar por reclutadores que buscan a desarrolladores blockchain. En este caso, intentan que descarguen y ejecuten un repositorio de GitHub que está infectado con malware. También incorporan a la víctima a un bot de Telegram, desde el que le envían un archivo ZIP o el enlace de GitHub. BlueNoroff utiliza la IA generativa “para agilizar el desarrollo de malware y perfeccionar sus técnicas de ataque”.

Omar Amin, investigador sénior de seguridad en Kaspersky GReAT, explica que “la estrategia de este actor ha evolucionado más allá del robo de criptomonedas o credenciales de navegador. El uso de IA generativa ha acelerado este cambio, facilitando el desarrollo de malware y reduciendo el esfuerzo operativo. Esta capacidad permite cubrir lagunas de información y afinar la selección de objetivos. Al combinar datos comprometidos con la analítica de la IA, el alcance de estos ataques se ha multiplicado. Esperamos que nuestra investigación ayude a mitigar su impacto”.