Prueba técnica con "sorpresa": hackers se hacen pasar por reclutadores para comprometer tu macOS
Detectan nuevo esquema para robar criptomonedas mediante sitios falsos de videoconferencias
El grupo de hackers BlueNoroff convirtió hace tiempo la ciberdelincuencia en un negocio de alta tecnología, donde están en juego decenas de millones de dólares, activos en criptomonedas y ecosistemas financieros completos. Informe de Picus Security revela en detalle la evolución del grupo. Comenzando con audaces ataques a bancos, BlueNoroff evolucionó gradualmente hasta convertirse en una de las amenazas más peligrosas para el mercado de criptomonedas, las empresas Web3 y los desarrolladores en todo el mundo.
BlueNoroff se considera la rama orientada a las finanzas del grupo Lazarus y se hizo famosa ya en 2016, cuando participó en el ataque al Banco Central de Bangladés. Entonces los atacantes comprometieron la infraestructura SWIFT y lograron robar 81 millones de dólares, lo que se convirtió en uno de los robos cibernéticos más sonados de la historia. Tras eso el grupo cambió su objetivo hacia ataques contra bancos en Europa, y ya en 2017 cambió el enfoque y comenzó la caza de empresas de criptomonedas en el marco de la campaña SnatchCrypto.
En 2018 los hackers comenzaron a crear empresas de TI falsas y a distribuir software legítimo que luego recibía actualizaciones maliciosas. En los últimos años el objetivo principal han sido los usuarios de macOS y los proyectos del ámbito Web3. En las campañas GhostCall y GhostHire los atacantes se hicieron pasar por reclutadores e inversores, llevaron a cabo entrevistas y reuniones falsas, infectando dispositivos de directivos y desarrolladores. En 2025 el grupo fue más allá, iniciando ataques a la cadena de suministro, publicando paquetes maliciosos en repositorios oficiales de Go y ocultando malware dentro de aplicaciones de Microsoft Teams.
La base de los ataques del grupo es una investigación minuciosa. Los hackers estudian perfiles en LinkedIn y otras redes sociales, crean identidades falsas creíbles y luego contactan a las víctimas a través de Telegram, aplicaciones de mensajería y sitios falsos de videoconferencia. A la víctima se le puede ofrecer una tarea de prueba, una entrevista o una reunión de inversión, pero en realidad eso acaba con la instalación de malware.
El arsenal técnico de BlueNoroff impresiona. Utilizan malware modular escrito en Rust, Go, Python y otros lenguajes, emplean AppleScript y scripts para ejecutar código en macOS, reemplazan extensiones de navegador, crean mecanismos de autoarranque y ocultan archivos maliciosos como procesos del sistema y aplicaciones populares. Para robar datos utilizan ventanas de ingreso de contraseñas falsas, solicitudes del sistema falsas y recopiladores ocultos de credenciales que buscan claves de acceso a servicios en la nube y billeteras de criptomonedas.
El objetivo principal de todas las operaciones sigue siendo el dinero. El grupo se dedica sistemáticamente al robo de criptomonedas, datos financieros y activos digitales, convirtiendo complejos ataques APT en una herramienta de fraude financiero a gran escala.
Los expertos señalan que hoy BlueNoroff es uno de los grupos cibernéticos más evolucionados del mundo. Su trayectoria desde los ataques a la infraestructura bancaria hasta los complejos esquemas de ingeniería social, ataques a la cadena de suministro y entrevistas falsas muestra cómo la ciberdelincuencia se convierte en una industria completa, donde la tecnología, la psicología y el engaño actúan juntos. Y, a juzgar por la actividad del grupo en 2024 y 2025, no tiene intención de detenerse.