APT

GhostCall y GhostHire: en busca de criptoactivos

Dos campañas del grupo BlueNoroff APT que dirigen sus ataques a desarrolladores y ejecutivos de la industria de las criptomonedas.

Kaspersky Team
10 Nov 2025

Expertos del Equipo de Análisis e Investigación Global de Kaspersky (GReAT) conversaron en la Cumbre de Analistas de Seguridad 2025 sobre las actividades del grupo BlueNoroff APT, que creemos que es un subgrupo de Lazarus. En particular, describieron en detalle dos campañas que dirigen sus ataques a desarrolladores y ejecutivos de la industria de las criptomonedas: GhostCall y GhostHire.

Los actores de BlueNoroff están interesados principalmente en obtener ganancias económicas y, en la actualidad, prefieren atacar a los miembros del personal de organizaciones que trabajan con cadenas de bloques (blockchain). Los objetivos se eligen con cuidado: está claro que los atacantes se preparan exhaustivamente para cada ataque. Las campañas GhostCall y GhostHire son muy diferentes entre sí, pero dependen de una infraestructura de administración común. Por eso, nuestros expertos las han unido en un solo informe.

La campaña GhostCall

La campaña GhostCall se dirige principalmente a ejecutivos de varias organizaciones. Los atacantes intentan infectar sus ordenadores con malware diseñado para robar criptomonedas, credenciales y secretos con los que puedan estar trabajando las víctimas. La principal plataforma que les interesa a los operadores de GhostCall es macOS, probablemente porque los dispositivos Apple son populares entre los directivos de las empresas modernas.

Los ataques GhostCall comienzan con una ingeniería social bastante sofisticada: los atacantes se hacen pasar por inversores (a veces utilizando cuentas robadas de empresarios reales e incluso fragmentos de videollamadas reales con ellos) e intentan concertar una reunión para conversar sobre una asociación o inversión. El objetivo es atraer a la víctima a un sitio web que imita a Microsoft Teams o Zoom. Allí les espera una trampa estándar: el sitio web muestra una notificación que indica que es necesario actualizar el cliente o solucionar algún problema técnico. Para hacer esto, se pide a la víctima que descargue y ejecute un archivo, lo que provoca la infección del ordenador.

Los detalles sobre las distintas cadenas de infección se pueden encontrar en la publicación del blog del sitio web Securelist (hay al menos siete cadenas de infección en esta campaña, cuatro de las cuales nuestros expertos no habían detectado anteriormente), junto con los indicadores de vulneración.

La campaña GhostHire

GhostHire es una campaña que se dirige a desarrolladores que trabajan con cadenas de bloques. El objetivo final es el mismo (infectar los ordenadores con malware), pero la maniobra es diferente. En este caso, los atacantes atraen a las víctimas ofreciéndoles oportunidades de empleo con condiciones favorables. Durante las negociaciones, le dan la dirección de un bot de Telegram al desarrollador, que, a su vez, le proporciona un enlace a GitHub con una tarea de prueba u ofrece descargarla en un archivo comprimido. Para evitar que el desarrollador tenga tiempo de pensarlo, la tarea tiene un plazo bastante ajustado. Mientras realiza la prueba, el ordenador de la víctima se infecta con malware.

Las herramientas utilizadas por los atacantes en la campaña GhostHire y sus indicadores de vulneración también se pueden encontrar en la publicación del blog de Securelist.

¿Cómo puedes protegerte de los ataques de GhostCall y GhostHire?

Si bien GhostCall y GhostHire se dirigen a desarrolladores y ejecutivos de empresas específicos, los atacantes están interesados principalmente en la infraestructura operativa. Por lo tanto, la tarea de garantizar la protección contra estos ataques recae sobre los especialistas en seguridad de TI de las empresas. Por eso, te recomendamos lo siguiente:

La concienciación periódica de todo el personal de la empresa sobre los trucos que utilizan los atacantes modernos. La formación debe tener en cuenta la naturaleza del trabajo de especialistas específicos, incluidos los desarrolladores y administradores. Esta formación se puede organizar mediante una plataforma especializada en línea, como Kaspersky Automated Security Awareness Platform.

Utiliza soluciones de seguridad modernas en todos los dispositivos corporativos que el personal usa para comunicarse con el mundo exterior.

¿Qué redes sociales cuidan más la privacidad en 2025?

Privacidad en redes sociales en 2025: lo que necesitas saber

¿Qué redes sociales solo muestran tus publicaciones a tus amigos y cuáles las utilizan para entrenar la IA y la publicidad dirigida? Analizamos la clasificación de privacidad de 2025 de las plataformas de redes sociales más populares.

Privacidad y niños

GhostCall y GhostHire: en busca de criptoactivos

La campaña GhostCall

La campaña GhostHire

¿Cómo puedes protegerte de los ataques de GhostCall y GhostHire?

La operación ForumTroll y sus colegas italianos

Security Analyst Summit 2023: una investigación clave

Privacidad en redes sociales en 2025: lo que necesitas saber

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia