Una nueva campaña cibercriminal atribuida al grupo de hackers Lazarus, vinculado a Corea del Norte, utiliza invitaciones falsas a videollamadas de Zoom y Google Meet para infiltrarse en empresas y robar información sensible. Mediante un malware dirigido a empleados que usan macOS (Apple), el ataque busca obtener contraseñas, historial de navegación y otros datos que faciliten futuras intrusiones. Según fuentes de Clarín, varias empresas fintech de América Latina ya han sido víctimas de este tipo de ataques.
La investigación, realizada por el experto en inteligencia cibercriminal Mauro Eldritch, detalla que el ataque comienza con una invitación engañosa a una videollamada. Posteriormente, se presenta un supuesto error técnico que obliga a la víctima a copiar y pegar un comando en la Terminal de Mac, lo que permite la ejecución del malware y el robo de credenciales, sesiones activas del navegador y contraseñas almacenadas en el sistema.
Este grupo norcoreano ha incrementado su actividad en el ámbito cibernético corporativo. En 2023, Eldritch detectó una campaña en la que Lazarus simulaba ser un generador de códigos QR para engañar a usuarios. Además, implementaron entrevistas falsas dirigidas a infiltrarse en una fintech mexicana.
El malware, denominado “Mach-O Man” en referencia a la estructura de los binarios de macOS y en un juego de palabras con la canción de los Village People, se propaga mediante ingeniería social. El primer contacto suele hacerse a través de Telegram, donde hackers utilizan cuentas robadas de inversores cripto para enviar mensajes que generan confianza en la víctima al parecer provenir de un contacto legítimo. A partir de un enlace falso que simula plataformas de videollamadas como Zoom, Google Meet o Microsoft Teams, se induce al usuario a ejecutar un comando que instala el malware.
Una vez activado, el programa descarga una aplicación falsa que solicita repetidamente la contraseña de la Mac y comienza a recopilar información del equipo, instala mecanismos para mantenerse activo tras reinicios y extrae credenciales, cookies y sesiones abiertas del navegador. Toda esta información se envía a los atacantes a través de Telegram para usos maliciosos posteriores.
Esta modalidad, aunque no nueva, ha sido detectada principalmente en empresas de América Latina.
### Lazarus: la presencia norcoreana en la región
Lazarus es uno de los grupos de hackers más reconocidos y persistentes del mundo, asociado al régimen de Corea del Norte desde fines de la década de 2000. Inicialmente vinculado a campañas de espionaje y sabotaje contra Corea del Sur, con el tiempo se consolidó como una estructura híbrida que combina operaciones políticas, robos de información, ataques destructivos y ataques financieros globales.
Técnicamente, las acciones de Lazarus se “atribuyen a Corea del Norte”, debido a que la atribución en ciberseguridad se basa en grados de confianza. En el caso del malware Mach-O Man, la confianza en que Lazarus está detrás es alta.
Alejandro Botter, gerente de ingeniería para el sur de Latinoamérica en Check Point, explicó a Clarín que el grupo se caracteriza por aprovechar la confianza como vector de ataque. “Ya sea mediante reuniones virtuales falsas o usando relaciones previamente seguras en entornos cripto, Lazarus evita ataques directos y se apoya en procesos legítimos para pasar desapercibido”, afirmó.
Botter añadió que esta estrategia se mantiene coherente a lo largo del tiempo y las campañas: “El grupo utiliza señuelos creíbles, se orienta a usuarios específicos y prefiere mecanismos de acceso inicial de bajo ruido, adaptándose a los contextos tecnológicos y operativos de sus objetivos”.
Entre los ataques más notorios atribuidos a Lazarus figuran el hackeo a Sony Pictures en 2014, que expuso películas inéditas, correos y datos de empleados; el robo de 81 millones de dólares al Banco Central de Bangladesh en 2016, y el ransomware WannaCry en 2017, que afectó a cientos de miles de computadoras en más de 150 países.
En años recientes, Lazarus ha centrado su atención en el ecosistema cripto. En 2022, el FBI los responsabilizó por el robo de aproximadamente 620 millones de dólares de la red Ronin, vinculada al juego Axie Infinity.
