La IA como arma de ciberguerra: grupo vinculado a Lazarus empieza a usar inteligencia generativa para hackear proyectos blockchain
¿Puede la IA convertirse en la principal amenaza para Web3?
El grupo BlueNoroff, vinculado a Lazarus, comenzó a utilizar inteligencia artificial generativa en ataques dirigidos a directivos y desarrolladores de proyectos blockchain. De ello informaron los investigadores del equipo GReAT de Kaspersky en la conferencia Security Analyst Summit 2025 en Tailandia. Desde abril de 2025 los especialistas registraron dos campañas activas — GhostCall y GhostHire — dirigidas contra organizaciones de criptomonedas y Web3 en India, Turquía, Australia y varios países de Europa y Asia. Los ataques afectan dispositivos con macOS y Windows y se controlan mediante una infraestructura común.
BlueNoroff sigue desarrollando la campaña SnatchCrypto, dirigida a empresas que trabajan con criptomonedas, servicios DeFi y contratos inteligentes. En GhostCall y GhostHire los atacantes emplean nuevos métodos de intrusión y malware creado con ayuda de IA.
La campaña GhostCall se centra en dispositivos macOS y se basa en guiones de ingeniería social cuidadosamente preparados. Los delincuentes contactan a las víctimas por Telegram, haciéndose pasar por inversores de capital riesgo. A veces actúan en nombre de cuentas comprometidas de empresarios reales. El objetivo es invitar a la posible víctima a una «reunión de inversión» en sitios falsos que imitan Zoom o Microsoft Teams. Durante la llamada se pide al participante que actualice el cliente para resolver un «problema de audio», tras lo cual se descarga en el dispositivo un script malicioso.
Durante esas reuniones simuladas, los atacantes reproducen vídeos grabados con antelación para crear la impresión de un diálogo real. Estos materiales se usan después en ataques a la cadena de suministro, aprovechando la confianza entre socios y contratistas para ampliar las infecciones.
Los investigadores señalan que por medio de GhostCall se distribuyeron nuevos tipos de malware, como herramientas para robar criptomonedas, datos de Telegram y de navegadores. Se detectaron siete cadenas de infección complejas, cuatro de las cuales no se habían visto anteriormente.
La segunda campaña — GhostHire — está dirigida a desarrolladores de blockchain. Allí los atacantes se hacen pasar por reclutadores y proponen realizar una «tarea de prueba». Envían a la víctima un enlace a un repositorio de GitHub en cuyo interior se oculta un malware. Al ejecutarlo, el sistema queda comprometido. En GhostHire también se usan bots de Telegram y ofertas de empleo falsas. Para acelerar la instalación, los atacantes limitan el tiempo de la tarea, empujando a la víctima a actuar sin verificar.
Herramientas e infraestructura compartidas vinculan ambas campañas. A diferencia de ataques anteriores de BlueNoroff, las operaciones actuales son más extensas y tecnológicas: el uso de IA generativa acelera el desarrollo del malware y complica su análisis. Los delincuentes añadieron nuevos lenguajes de programación y ampliaron la funcionalidad, lo que aumenta la capacidad de ocultación y la eficacia de los ataques.
Los expertos señalan que ahora los atacantes no solo roban criptoactivos y credenciales, sino que también emplean IA para analizar información, seleccionar objetivos con precisión y escalar las campañas.