Puntos claves de la noticia:
- Hackers norcoreanos pasan de infiltrar proyectos a construir plataformas fraudulentas como Tenexium.
- Tenexium operaba en Bittensor y desapareció con $2,5 millones en enero de 2026.
- UNC2970 usó Gemini de Google para perfilar víctimas en ciberseguridad y defensa.
Actores de amenaza norcoreanos cambiaron de infiltrar proyectos cripto existentes a construir sus propias plataformas fraudulentas, según investigación de Elliptic. El enfoque causó el incidente Tenexium el 1 de enero de 2026, marcando el primer hack importante del año. El proyecto, construido dentro de la red Bittensor (TAO), atrajo liquidez como protocolo de trading antes de que su sitio web desapareciera y ocurrieran salidas sospechosas de $2,5 millones.
Tenexium siguió prácticas estándar de desarrollo de proyectos sin permisos dentro de la arquitectura de Bittensor, haciendo el fraude más difícil de detectar inicialmente. Investigaciones revelaron que algunos miembros del equipo pueden ser hackers de RPDC haciéndose pasar por trabajadores de TI. La diferencia de operaciones previas: el personaje de TI de RPDC puede ser el fundador real, no solo un miembro de equipo infiltrado.
El Grupo de Inteligencia de Amenazas de Google reveló que el colectivo hacker vinculado a Corea del Norte UNC2970 empleó el modelo de IA generativa Gemini de la compañía para sintetizar inteligencia de fuentes abiertas y crear perfiles de objetivos de alto valor durante operaciones de planificación de campañas. La actividad demuestra líneas borrosas entre investigación profesional legítima y esfuerzos de reconocimiento maliciosos, según un reporte compartido con investigadores de seguridad.
UNC2970 utilizó Gemini para reunir información sobre compañías principales de ciberseguridad y defensa mientras mapeaba roles técnicos específicos de trabajo y datos salariales. La inteligencia permite creación de personas de phishing personalizadas y ayuda a identificar puntos de entrada vulnerables para compromiso inicial del sistema.
UNC2970 comparte superposición con grupos rastreados como Lazarus Group, Diamond Sleet y Hidden Cobra, ganando notoriedad por conducir «Operation Dream Job» — una campaña de larga duración apuntando a sectores aeroespacial, defensa y energía al aproximarse a víctimas con oportunidades de trabajo fraudulentas para entregar malware.
Google documentó varias otras organizaciones hacker usando mal la plataforma de IA. El grupo no atribuido UNC6418 condujo recopilación de inteligencia dirigida, específicamente buscando credenciales de cuenta sensibles y direcciones de correo electrónico.
El actor de amenaza chino Temp.HEX, también conocido como Mustang Panda, compiló dossieres detallados sobre individuos específicos incluyendo objetivos en Pakistán mientras reunía datos operacionales y estructurales sobre organizaciones separatistas en múltiples países.
APT31, rastreado como Judgement Panda, automatizó análisis de vulnerabilidades y generó planes de prueba dirigidos haciéndose pasar por investigador de seguridad. APT41 extrajo explicaciones de documentación de herramientas de código abierto y usó la plataforma para depurar código de exploits.
Malware BeaverTail apunta a MetaMask mediante inyección en extensión de navegador en campaña Contagious Interview
El investigador de ciberseguridad Seongsu Park publicó un reporte sobre la campaña Contagious Interview, alegadamente orquestada por norcoreanos apuntando a personas en industrias de criptoactivos e IA. Los actores de amenaza propagan malware mientras conducen entrevistas de trabajo falsas, usando nuevas técnicas diseñadas para robar datos sensibles y posteriormente drenar fondos de víctimas.
Según Park, mientras los criminales usan dos familias principales de malware — BeaverTail e InvisibleFerret — la variante BeaverTail permanece como una de las herramientas de malware desplegadas más activamente por actores de amenaza afiliados a RPDC robando fondos. El investigador encontró que las herramientas reciben actualizaciones constantes. Al incorporar manipulación de la extensión de wallet MetaMask, la campaña se volvió más agresiva y efectiva en robar criptoactivos.
Después de pasos de infección iniciales, los criminales despliegan un script diseñado para manipular el wallet MetaMask de la víctima. El malware apunta específicamente a la extensión de wallet de criptomonedas MetaMask, modificando archivos de configuración del navegador para inyectar código controlado por atacantes interceptando las claves del wallet. Mientras la extensión MetaMask contiene miles de líneas de código, los criminales inyectan un número mínimo para bajar la probabilidad de detección.
El wallet MetaMask troyanizado permite a atacantes capturar la contraseña maestra cuando la víctima desbloquea el wallet. Después de pasos adicionales, los atacantes obtienen frases semilla y las usan para drenar fondos. Taylor Monahan, experta en seguridad e investigadora en MetaMask, reaccionó al análisis declarando que los criminales «siempre encontrarán nuevas formas de abusar tu producto y eludir cualquier control que tengas en su lugar.»
Monahan enfatizó que los equipos deben mejorar continuamente productos y operaciones, advirtiendo «si no te importa lo suficiente para detenerlos, socavarán todo lo que estás intentando lograr.«
La evolución de infiltración simple a crear proyectos fraudulentos enteros, combinada con reconocimiento asistido por IA y malware cada vez más dirigido, representa un cambio sustancial en operaciones cibernéticas de RPDC contra el sector cripto.
