Actores malintencionados cooptan herramientas de codificación legítimas para difundir complejas amenazas de moneda digital

Tabla de contenido Una ciberamenaza sofisticada surge cuando actores maliciosos utilizan los complementos de Obsidian como arma para entregar malware oculto a través de elaborados esquemas de ingeniería social. Esta campaña ofensiva se dirige específicamente a los profesionales del sector financiero y prolifera a través de comunicaciones de LinkedIn y Telegram. Además, explotar los complementos de Obsidian permite a los actores de amenazas evadir los sistemas de detección y ejecutar código ejecutable no autorizado. Los actores de amenazas establecen un contacto inicial a través de LinkedIn, haciéndose pasar por representantes de capital de riesgo centrados en objetivos de la industria de las criptomonedas. Posteriormente, las comunicaciones migran a las plataformas Telegram, donde perfiles falsos coordinados construyen una auténtica fachada comercial. Las víctimas reciben instrucciones persuasivas para utilizar paneles colaborativos impulsados ​​por complementos de Obsidian. Los adversarios enmarcan a Obsidian como una solución de base de datos de nivel empresarial diseñada para la cooperación del sector financiero. Los objetivos reciben credenciales de autenticación que les otorgan acceso a repositorios alojados en la nube controlados por atacantes. Al acceder a estos repositorios, las víctimas encuentran directivas que les indican que activen las capacidades de sincronización de Obsidian Plugins. Esta acción crítica inicia la secuencia de compromiso, ya que los complementos de Obsidian armados ejecutan de forma encubierta cargas útiles maliciosas. La ofensiva aprovecha la funcionalidad del complemento nativo para ejecutar código mientras evade el monitoreo de seguridad. Los adversarios manipulan operaciones de software legítimas en lugar de implementar técnicas convencionales de distribución de malware. Los investigadores de Elastic Security Labs descubrieron un troyano avanzado de acceso remoto denominado PHANTOMPULSE. Esta amenaza opera en entornos Windows y macOS utilizando distintas metodologías de ejecución. El malware emplea complementos de Obsidian como principal mecanismo de infiltración para la distribución de la carga útil. Dentro de los entornos Windows, el malware implementa componentes de carga cifrados y estrategias de ejecución residentes en la memoria para evadir los mecanismos de detección. La amenaza utiliza protección criptográfica AES-256 y metodologías de carga reflectante para preservar el sigilo durante la operación. Los objetivos de macOS reciben mecanismos de entrega de AppleScript ofuscados que presentan una infraestructura de comando redundante. PHANTOMPULSE implementa una arquitectura de comando distribuida que utiliza transacciones blockchain para comunicaciones operativas. Las instrucciones de comando se extraen de datos en cadena asociados a billeteras que abarcan múltiples redes blockchain. En consecuencia, el malware elimina la dependencia de la infraestructura centralizada y mantiene la continuidad operativa a pesar de los esfuerzos de interdicción. Las plataformas criptográficas continúan atrayendo adversarios debido a las características irreversibles de las transacciones y las importantes valoraciones de las billeteras. A lo largo de 2025, los ciberdelincuentes exfiltraron más de 713 millones de dólares de carteras de criptomonedas individuales, lo que subraya la creciente vulnerabilidad. Los complementos de Obsidian proporcionan a los atacantes técnicas innovadoras para eludir los mecanismos de protección establecidos. Esta campaña demuestra cómo las aplicaciones de productividad confiables se transforman en vectores de compromiso a través de la explotación. Los adversarios manipulan los marcos de complementos para ejecutar código no autorizado sin activar los sistemas de monitoreo de seguridad convencionales. Las empresas deben implementar protocolos integrales de monitoreo y restricción que regulen la utilización de complementos de terceros dentro de contextos operativos sensibles. Actualmente, los profesionales de la seguridad abogan por implementar marcos rigurosos de gobernanza de complementos y limitar la conectividad de las bóvedas externas. Además, recomiendan una verificación exhaustiva de los orígenes de las comunicaciones antes de instalar o activar los complementos de Obsidian. Una mayor concienciación y controles de acceso constituyen medidas de protección esenciales contra el avance de las metodologías de ingeniería social.