El grupo norcoreano BlueNoroff despliega el malware SilentSiphon dirigido a credenciales y datos de Web3

Resumen Ejecutivo

El colectivo de hackers norcoreano patrocinado por el estado, BlueNoroff, ha desplegado una nueva cepa de malware, SilentSiphon, diseñada específicamente para comprometer datos y credenciales críticos en varias aplicaciones y servicios relacionados con Web3. Esta sofisticada amenaza se dirige a usuarios de macOS, incluidos ejecutivos de tecnología y desarrolladores de Web3, lo que genera preocupaciones sobre la seguridad de los activos digitales.

El Evento en Detalle

SilentSiphon es una suite de robo de datos que comprende múltiples scripts bash diseñados para recopilar y exfiltrar información sensible. El malware es capaz de recolectar datos de Apple Notes, Telegram, extensiones de navegador web y credenciales almacenadas en navegadores y administradores de contraseñas. Además, se dirige a secretos dentro de archivos de configuración relacionados con un amplio espectro de servicios, incluidos GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, .NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, y varias plataformas blockchain prominentes como Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes, y OpenAI.

Esta actividad se atribuye a BlueNoroff, un subgrupo del notorio Lazarus Group, también identificado como APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (anteriormente Copernicium) y Stardust Chollima. El despliegue de SilentSiphon forma parte de campañas más grandes, GhostCall y GhostHire, que se encuentran bajo la operación general SnatchCrypto, activa desde al menos 2017.

Se han observado víctimas de GhostCall en múltiples hosts de macOS en Japón, Italia, Francia, Singapur, Turquía, España, Suecia, India y Hong Kong. Esta campaña se dirige principalmente a ejecutivos de tecnología y capital de riesgo, acercándose directamente a ellos a través de plataformas como Telegram y atrayéndolos a reuniones relacionadas con inversiones en sitios web de phishing similares a Zoom. La campaña GhostHire, que afecta predominantemente a Japón y Australia, se centra en desarrolladores de Web3. Los atacantes se acercan a los objetivos en Telegram, incitándolos a descargar y ejecutar repositorios maliciosos de GitHub bajo la apariencia de evaluaciones de habilidades.

Deconstrucción Técnica de la Operación del Malware

SilentSiphon opera como un conjunto de scripts bash. Después de la infección inicial, típicamente a través de CosmicDoor, se crean múltiples scripts shell para facilitar la recopilación y exfiltración de datos a los servidores de Comando y Control (C2) del atacante. Un componente clave, upl.sh, funciona como un lanzador de orquestación, agregando varios módulos de extracción de datos independientes específicos del sistema de la víctima. Este enfoque modular permite una recopilación exhaustiva de datos adaptada al entorno comprometido, eludiendo eficazmente las medidas de seguridad estándar diseñadas para vectores de amenaza únicos.

Implicaciones en el Mercado

La aparición de SilentSiphon y las campañas en curso de BlueNoroff resaltan los crecientes riesgos de ciberseguridad dentro del ecosistema Web3. La focalización directa de los servicios relacionados con blockchain y las herramientas para desarrolladores podría erosionar la confianza de los usuarios y dificultar la adopción más amplia de tecnologías descentralizadas. La naturaleza sofisticada de estos ataques, que aprovechan la ingeniería social y explotan plataformas de uso común, señala la necesidad de una mayor vigilancia tanto por parte de los usuarios individuales como de las entidades institucionales que interactúan con activos digitales.

El contexto más amplio de la seguridad de Web3 indica un panorama precario. El primer trimestre de 2025 registró más de 2 mil millones de dólares en pérdidas dentro del sector Web3, lo que marca un aumento del 96% en comparación con el primer trimestre de 2024. Solo los exploits de control de acceso fueron responsables de más de 1.6 mil millones de dólares en pérdidas durante este período. Si bien los exploits de contratos inteligentes representaron una proporción menor, con 29 millones de dólares en daños, la naturaleza generalizada del phishing y los métodos de robo de datos directos como SilentSiphon contribuyen significativamente a la inseguridad financiera general.

Comentarios de Expertos y Mejores Prácticas

Los expertos en seguridad enfatizan la importancia crítica de prácticas sólidas de ciberseguridad en el espacio Web3. Se aconseja a individuos y organizaciones que adopten carteras de buena reputación, preferiblemente aquellas con características de seguridad establecidas y un historial probado. La actualización regular del software es primordial para garantizar la aplicación de los últimos parches de seguridad. El uso de carteras frías, que almacenan claves privadas fuera de línea en dispositivos de hardware o copias de seguridad de papel seguras, es muy recomendable para mitigar significativamente el riesgo de ciberataques. Además, el principio fundamental de nunca compartir claves privadas o frases semilla con nadie sigue siendo la piedra angular de la seguridad de los activos digitales. Este enfoque proactivo, que combina herramientas de seguridad avanzadas con un comportamiento de usuario disciplinado, es esencial para contrarrestar las amenazas en evolución como SilentSiphon y salvaguardar los activos dentro del entorno Web3.

Contexto más Amplio

El constante ataque de BlueNoroff a los sectores de Web3 y blockchain a través de operaciones como SnatchCrypto subraya una amenaza persistente y en evolución por parte de actores estatales norcoreanos. Sus tácticas, que incluyen ingeniería social sofisticada y el desarrollo de malware versátil, reflejan un enfoque estratégico en la ganancia financiera a través del cibercrimen, a menudo dirigido a individuos y organizaciones de alto valor en el espacio de los activos digitales. La creciente frecuencia y sofisticación de tales ataques requieren una innovación continua en las defensas de ciberseguridad y un esfuerzo colaborativo en toda la comunidad Web3 para protegerse contra futuras incursiones. Esta tendencia refleja los crecientes intereses financieros en la economía descentralizada, convirtiéndola en un objetivo atractivo para actores estatales con buenos recursos. La respuesta de la industria a tales amenazas será crucial para dar forma a su postura de seguridad y resiliencia a largo plazo.