Hackers norcoreanos despliegan ingeniería social impulsada por IA en Zerion

Zerion reveló que hackers afiliados a Corea del Norte utilizaron ingeniería social impulsada por IA para extraer aproximadamente $100,000 de las hot wallets de la empresa la semana pasada. En un análisis post-mortem publicado el miércoles, el proveedor de billeteras cripto confirmó que no se comprometieron fondos de usuarios, aplicaciones de Zerion ni infraestructura, y deshabilitó proactivamente la aplicación web como medida de precaución.

Aunque la cantidad es modesta según los estándares de hackeos cripto, la divulgación de Zerion refuerza una tendencia creciente: los atacantes están apuntando cada vez más a operadores humanos con técnicas habilitadas por IA. El incidente se sitúa junto a un episodio de alto perfil a principios de mes—una explotación de $280 millones del Drift Protocol atribuida a una operación vinculada a Corea del Norte—que ilustra un cambio más amplio en cómo los actores de amenazas abordan las empresas cripto. La capa humana, no el firmware ni los Smart Contracts, se ha convertido en un punto de entrada principal para incursiones en entornos cripto.

Conclusiones clave

• La ingeniería social habilitada por IA está surgiendo como un vector de ataque principal para actores vinculados a la RPDC, apuntando a personas internas en lugar de explotar solo errores de código.
• El incidente de Zerion involucró acceso a sesiones iniciadas de miembros del equipo, credenciales y claves privadas mantenidas en hot wallets, subrayando una vulnerabilidad en la gestión de identidad y acceso.
• El mismo grupo de amenazas está vinculado a un patrón más amplio de campañas prolongadas que suplantan contactos y marcas de confianza a través de canales de colaboración comunes como Telegram, LinkedIn y Slack.
• Los investigadores de la industria han documentado un conjunto de herramientas en crecimiento: reuniones virtuales falsas, edición de imágenes y videos asistida por IA, y otras tácticas engañosas que reducen la fricción para la ingeniería social.
• Los Analistas de Seguridad advierten que la amenaza se extiende mucho más allá de los exchanges a desarrolladores, contribuyentes y cualquiera con acceso a infraestructura cripto.

La IA remodelando el panorama de amenazas

El incidente de Zerion destaca un cambio en cómo se desarrollan las brechas en los ecosistemas cripto. Zerion declaró que el atacante obtuvo acceso a las sesiones iniciadas de algunos miembros del equipo, credenciales y claves privadas utilizadas para hot wallets. La empresa describió el evento como una operación de ingeniería social habilitada por IA, indicando que se desplegaron herramientas de inteligencia artificial para refinar mensajes de phishing, suplantaciones y otras técnicas manipuladoras.

Esta evaluación se alinea con hallazgos anteriores de investigadores de la industria que han observado a grupos afiliados a la RPDC perfeccionando sus manuales de ingeniería social. En particular, Security Alliance (SEAL) reportó el rastreo y bloqueo de 164 dominios vinculados a UNC1069 durante una ventana de dos meses de febrero a abril, señalando que el grupo ejecuta campañas de varias semanas y baja presión a través de Telegram, LinkedIn y Slack. Los actores suplantan contactos conocidos o marcas reputadas, o aprovechan el acceso a cuentas previamente comprometidas para generar confianza y escalar el acceso.

El brazo de Seguridad de Google, Mandiant, ha detallado el flujo de trabajo evolutivo del grupo, incluyendo un uso documentado de reuniones falsas de Zoom y edición asistida por IA de imágenes o videos durante la etapa de ingeniería social. La combinación de engaño y herramientas de IA hace más difícil para los destinatarios diferenciar comunicaciones legítimas de fraudulentas, aumentando la probabilidad de intrusiones exitosas.

La superficie de amenaza de la RPDC se expande más allá de los exchanges

Más allá del caso de Zerion, los investigadores han enfatizado que los actores de amenazas norcoreanos se han integrado en ecosistemas cripto durante años. El desarrollador de MetaMask e investigador de Seguridad Taylor Monahan señaló que los trabajadores de TI de la RPDC han estado involucrados en numerosos protocolos y proyectos durante al menos siete años, subrayando una presencia persistente en todo el sector. La integración de herramientas de IA en estas campañas agrava el riesgo, permitiendo suplantaciones más convincentes y flujos de trabajo de ingeniería social optimizados.

Los Analistas de Elliptic han resumido la amenaza evolutiva en una publicación de blog, destacando que el grupo de la RPDC opera a lo largo de dos vectores de ataque—uno sofisticado, otro más oportunista—apuntando a desarrolladores individuales, contribuyentes de proyectos y cualquiera con acceso a infraestructura cripto. La observación hace eco de lo que Zerion y otros están viendo en terreno: la barrera de entrada para brechas de ingeniería social es más baja que nunca, gracias a la capacidad de la IA para automatizar y adaptar contenido engañoso a escala.

A medida que la narrativa se amplía, los observadores enfatizan que el factor humano—credenciales, tokens de sesión, claves privadas y relaciones de confianza—continúa siendo el punto de entrada principal. El cambio en las tácticas significa que las empresas deben defender no solo su código y despliegues, sino también la integridad de las comunicaciones internas y rutas de acceso que conectan a los equipos con activos críticos.

Qué deben observar los lectores a continuación

Dada la naturaleza transversal de estos ataques, los participantes del mercado y constructores deben monitorear varios hilos en desarrollo. Primero, el episodio del Drift Protocol y el incidente de Zerion juntos ilustran que los actores afiliados a la RPDC están persiguiendo un enfoque de múltiples etapas y largo plazo que combina ingeniería social tradicional con creación de contenido aumentada por IA. Esto implica que las correcciones a corto plazo—como parchear una sola vulnerabilidad o alertar sobre código sospechoso—serán insuficientes sin controles de identidad y acceso fortalecidos en toda la organización.

Segundo, la expansión del engaño habilitado por IA en canales de colaboración ordinarios sugiere que los defensores deben aumentar el monitoreo de riesgos en tiempo real para sesiones de inicio de sesión anómalas, escalaciones de privilegios inusuales y suplantaciones sospechosas dentro de plataformas de mensajería y reuniones internas. Como SEAL y Mandiant han mostrado, los atacantes aprovechan relaciones de confianza preexistentes para reducir la sospecha, haciendo esencial la vigilancia a nivel humano junto con controles técnicos.

Finalmente, el ecosistema más amplio debe anticipar informes públicos continuos y análisis de investigadores a medida que surjan más incidentes. La convergencia de la IA con la ingeniería social plantea preguntas sobre estándares regulatorios e industriales para respuesta a incidentes, gestión de riesgos de proveedores y educación de usuarios. A medida que la industria absorbe estas lecciones, será crítico rastrear cómo las billeteras, protocolos y empresas de Seguridad se adaptan a un manual de atacantes que enfatiza cada vez más el elemento humano combinado con herramientas de IA.

Para contexto continuo, los lectores pueden revisar el análisis de explotación del Drift Protocol vinculado a la misma actividad relacionada con la RPDC, el aviso de SEAL rastreando UNC1069, y la evaluación de Mandiant de las técnicas del grupo, incluyendo el engaño asistido por IA. Los comentarios de investigadores que han estudiado actores de la RPDC—como Taylor Monahan y Elliptic—ayudan a iluminar la profundidad y persistencia de la amenaza, subrayando que el panorama de amenazas no se trata solo de Smart Contracts expuestos sino de cómo los equipos defienden a su gente así como su código.

A medida que esta área evoluciona, los desarrollos a observar incluyen nuevas actualizaciones de casos de Zerion y Drift Protocol, cualquier cambio en las herramientas de actores de amenazas, y respuestas regulatorias destinadas a mejorar la transparencia y resiliencia en negocios cripto. La línea clave sigue siendo clara: la defensa más fuerte combina una higiene de identidad robusta con una postura de Seguridad vigilante e informada por IA que pueda detectar y disuadir campañas sofisticadas de ingeniería social antes de que ataquen.

Este artículo fue originalmente publicado como Hackers norcoreanos despliegan ingeniería social impulsada por IA en Zerion en Crypto Breaking News – su fuente confiable para noticias cripto, noticias de Bitcoin y actualizaciones de Blockchain.