Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Actor de amenazas JINX-0164

Actor de amenazas JINX-0164

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso, Malware móvil
Traducir a:

Un grupo de ciberdelincuentes hasta ahora desconocido, identificado como JINX-0164, ha orquestado una campaña cibernética altamente dirigida contra organizaciones de criptomonedas, utilizando técnicas de ingeniería social con fines de reclutamiento y malware personalizado para macOS con el fin de robar activos digitales. Activo desde al menos mediados de 2025, este grupo, motivado por intereses económicos, se ha centrado principalmente en desarrolladores y, en al menos un incidente confirmado, logró comprometer la cadena de suministro de software.

La campaña demuestra una sofisticada combinación de tácticas de reclutamiento engañosas, despliegue de malware e infiltración profunda en entornos de CI/CD. Al comprometer las estaciones de trabajo de los empleados, los atacantes lograron infiltrarse en la infraestructura de desarrollo y los sistemas de distribución de código, aumentando significativamente el alcance y el impacto de las intrusiones.

Las estafas de reclutamiento se convierten en el punto de entrada.

JINX-0164 se basa en engañar a perfiles falsos de LinkedIn para que contacten con desarrolladores y empleados de organizaciones relacionadas con las criptomonedas. Las víctimas son invitadas a participar en reuniones virtuales alojadas en dominios fraudulentos que suplantan la identidad de plataformas legítimas de videoconferencia.

Durante el proceso de configuración de la reunión falsa, se instruye a las víctimas para que descarguen lo que parece ser un cliente de reuniones o una solución técnica. En realidad, el archivo descargado inicia la cadena de infección al obtener un troyano de acceso remoto y robo de información para macOS basado en Python, conocido como AUDIOFIX, desde un dominio de distribución de controladores falsificado, 'apple.driver-store.com'.

El proceso de infección se facilita mediante un script bash capaz de identificar la arquitectura del sistema de la víctima, lo que permite que el malware funcione sin problemas tanto en dispositivos macOS con procesadores Intel como Apple Silicon. La carga útil se disfraza como un controlador de audio del sistema llamado 'coreaudiod', se almacena localmente como 'ChromeUpdater' y se ejecuta mediante los mecanismos launchctl de macOS para mantener su persistencia.

AUDIOFIX permite comprometer profundamente el sistema.

Una vez desplegado, AUDIOFIX realiza extensas operaciones de robo de credenciales y reconocimiento, además de permitir el movimiento lateral hacia la infraestructura interna. Los investigadores observaron que el malware se utilizaba para inyectar cargas útiles maliciosas en sistemas de desarrollo y modificar el código fuente en un intento por comprometer otros puntos finales y obtener credenciales de monederos de criptomonedas.

El malware es capaz de robar una amplia gama de información confidencial, entre la que se incluyen:

  • credenciales del administrador de contraseñas, datos del navegador, archivos del llavero de iCloud, claves SSH, credenciales de administrador, registros del historial de la consola y archivos de configuración
  • Direcciones de monederos de criptomonedas, datos de extensiones de navegador vinculadas a servicios de criptomonedas y sesiones activas de Discord, Slack y Telegram.

Además del robo de información, AUDIOFIX también permite la ejecución remota de comandos, la eliminación de archivos, la entrega de cargas útiles, actividades de reconocimiento y la extracción de datos de sistemas infectados.

MiniRAT amplía la amenaza mediante el abuso de la cadena de suministro.

Otro componente importante de la operación es MiniRAT, una puerta trasera basada en Go vinculada a un paquete npm comprometido llamado '@velora-dex/sdk'. El paquete estaba asociado con un conjunto de herramientas legítimas de finanzas descentralizadas utilizado para intercambios de tokens, operaciones delta y órdenes límite en la plataforma VeloraDEX.

La versión maliciosa del paquete obtenía un script de shell de un servidor remoto, desplegando finalmente un binario MiniRAT específico para macOS. Una vez instalado, el malware permitía a los atacantes subir archivos, ejecutar comandos de shell arbitrarios y descargar cargas útiles adicionales desde la infraestructura controlada por el atacante.

JINX-0164 ha reutilizado repetidamente tácticas de ingeniería social que incluyen falsas ofertas de reclutamiento y problemas técnicos inventados que obligan a las víctimas a instalar software fraudulento. Esta metodología consistente pone de manifiesto el fuerte énfasis que el grupo pone en la manipulación humana como principal vector de intrusión.

Posibles vínculos con operaciones cibernéticas de Corea del Norte

Varias características de la campaña se asemejan a actividades previamente asociadas con grupos de ciberamenazas norcoreanos como BlueNoroff, Contagious Interview y UNC1069. Los investigadores observaron similitudes en los patrones de ataque, los dominios falsificados y el uso de servicios VPN como Astrill VPN.

A pesar de estas coincidencias, los investigadores no han identificado ninguna conexión de infraestructura confirmada que vincule directamente a JINX-0164 con operaciones patrocinadas por el Estado norcoreano. La evidencia actual sugiere similitudes operativas más que una atribución definitiva.

Tendencias

Estafa por correo electrónico sobre la actualización...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que exigen una acción inmediata siempre deben tratarse con precaución. Los ciberdelincuentes suelen disfrazar las campañas de phishing como alertas de seguridad o notificaciones de servicio rutinarias para intentar robar información confidencial. Los correos electrónicos denominados "Actualización del servicio de correo electrónico" forman parte de una de...

Mas Visto

Cargando...