Exejecutivo de Animoca pierde ahorros de toda su vida en hackeo de Zoom vinculado a Lazarus

Un exejecutivo de Animoca Brands vio cómo sus carteras de criptomonedas eran vaciadas tras descargar una actualización falsa de Zoom durante un ataque de phishing asociado al grupo de hackers norcoreano Lazarus.

Mehdi Farooq, socio de inversiones en Hypersphere y exejecutivo de Animoca Brands, reveló en una publicación en X el jueves que perdió gran parte de sus ahorros de toda la vida en un hackeo de Zoom vinculado al grupo Lazarus.

El engaño comenzó cuando Farooq recibió un mensaje en Telegram de Alex Lin, un conocido profesional. Lin solicitó una reunión, y Farooq compartió su enlace de Calendly para agendar la llamada.

Al día siguiente, poco antes de la reunión, Lin volvió a escribir, pidiendo cambiar la llamada a Zoom Business "por motivos de cumplimiento", explicando que uno de sus socios, Kent —a quien Farooq también conocía— se uniría.

La reunión en Zoom parecía legítima. Ambos participantes tenían sus cámaras encendidas, pero no había audio. En el chat de Zoom, alegaron problemas técnicos y pidieron a Farooq que actualizara su cliente de Zoom. Minutos después de instalar la actualización falsa, seis de sus carteras de criptomonedas fueron vaciadas.

Solo después Farooq se dio cuenta de que la cuenta de Lin había sido hackeada. El esquema fue vinculado posteriormente a Lazarus, un grupo de hackers patrocinado por Corea del Norte.

"Fue surrealista y completamente violatorio. Pero en el momento más oscuro, hackers de sombrero blanco aparecieron —extraños ofreciendo ayuda cuando estaba en mi peor momento. Resulta que fui comprometido por una amenaza asociada a Corea del Norte conocida como 'dangrouspassword'", escribió Farooq.

Este incidente recuerda un intento reciente de phishing contra Kenny Li, cofundador de Manta Network, quien evitó por poco un destino similar. Li relató que los atacantes suplantaron a contactos conocidos durante una llamada en Zoom, usaron videos falsos e insistieron en descargar una actualización sospechosa. Al sospechar, Li sugirió cambiar de plataforma, lo que hizo que los atacantes lo bloquearan y borraran los mensajes.

Analistas de seguridad señalan que este vector de ataque —donde los hackers se hacen pasar por contactos de confianza, simulan fallos técnicos y distribuyen malware disfrazado de actualizaciones de Zoom— es una marca registrada de Lazarus y ha sido usado repetidamente para robar millones en criptomonedas.

Otros líderes de la industria, incluidos fundadores de Mon Protocol, Stably y Devdock AI, han reportado intentos similares, evidenciando lo generalizados y dirigidos que son estos ataques.

Nick Bax de Security Alliance desglosó esta estafa en una publicación en X el 11 de marzo.

¿Problemas de audio en tu llamada de Zoom? No es una VC, son hackers norcoreanos. Afortunadamente, este fundador se dio cuenta. La llamada empieza con unos "VCs" en pantalla. En el chat dicen no escuchar tu audio o sugieren que hay un… pic.twitter.com/ZnW8Mtof4F

Traducido por M1n3r