NimDoor: nueva amenaza de hackers norcoreanos para robar criptomonedas
- SentinelOne ha identificado un nuevo malware llamado NimDoor, utilizado por hackers de Corea del Norte para atacar a profesional de las criptomonedas
- El ataque combina una sofisticada ingeniería social a través de plataformas como Telegram con un malware técnicamente avanzado.
Un nuevo y sigiloso malware llamado NimDoor ha sido identificado como la última herramienta en el arsenal de los hackers vinculados a Corea del Norte. Según un reciente informe de la firma de ciberseguridad SentinelOne, esta amenaza está diseñada específicamente para sistemas macOS y tiene como objetivo infiltrarse en los dispositivos de profesionales de la industria de criptomonedas para robar activos digitales e información sensible. Este método se alinea con las recientes denuncias del investigador ZachXBT, quien expuso cómo trabajadores de TI norcoreanos se infiltran en empresas de Web3 para facilitar robos y espionaje.
Te puede interesar: Corea del Norte: Ciberfraude y criptomonedas para financiar su arsenal
NimDoor: una amenaza sofisticada y silenciosa
El malware NimDoor representa una evolución significativa en las tácticas de los hackers norcoreanos. Su nombre deriva de estar parcialmente escrito en Nim, un lenguaje de programación poco común para malware en macOS, lo que le permite evadir más fácilmente las defensas de seguridad tradicionales. Es por esto que SentinelOne lo describe como un malware inusual, el cual mezcla el código del desarrollador con el del tiempo de ejecución del lenguaje.
Para expandirlo, los atacantes combinan el malware con un ataque de ingeniería social minucioso. La infección inicia con un mensaje vía Telegram, invitando a una reunión falsa en Zoom organizada con Calendly. Tras el engaño, la víctima recibe un correo que simula una actualización del SDK de Zoom. Este script es en realidad el instalador de NimDoor. Este método es consistente con otros métodos ejecutados por hackers norcoreanos.
Suscríbete y recibe las mejores actualizaciones e informes en tu bandeja de entrada
Una vez ejecutado, el malware establece una «puerta trasera» (backdoor) en el sistema infectado, otorgando a los atacantes acceso remoto. Su principal característica es su mecanismo de persistencia, que utiliza manejadores de señales para reinstalarse si el proceso es terminado, asegurando un acceso continuo al dispositivo. Desde allí, los atacantes pueden exfiltrar datos críticos como:
- Claves privadas y frases semilla de billeteras de criptomonedas
- Contraseñas guardadas en el Keychain de macOS
- Datos de navegación
- Historial de conversaciones en Telegram
Te puede interesar: ¡Cuida tu frase semilla de SparkKitty!
Crece la amenaza de los hackers norcoreanos
Estas capacidades sitúan a NimDoor como una herramienta letal, especialmente cuando se dirige a desarrolladores que gestionan llaves o infraestructuras cripto. SentinelOne destaca que el malware deja una nueva evidencia sobre la evolución en las tácticas de los hackers, apuntando a mecanismos más sofisticados y al uso de lenguajes menos conocidos para evitar ser descubiertos.
Lo descubierto por SentinelOne complementa y refuerza las advertencias realizadas con respecto al creciente rol de Corea del Norte como principal amenaza dentro del sector cripto. Recientemente, el investigador ZachXBT, expuso cómo más de $16.5 millones fueron pagados a trabajadores de TI norcoreanos desde enero de 2025, quienes, usando identidades falsas, consiguieron entre 345 y 920 puestos de trabajo como desarrolladores en numerosos proyectos de criptomonedas.
Estos trabajadores infiltrados, según ZachXBT, no solo reciben un salario, sino que actúan como un punto de apoyo interno para facilitar ataques, obteniendo acceso privilegiado que les permite cometer fraudes. Incluso, el investigador destaca que estos pagos se canalizan a través de activos como la stablecoin USDC y mediante plataformas reguladas como Circle.
Esta infiltración laboral brinda una puerta perfecta para la distribución de malwares como NimDoor, al otorgar confianza y credibilidad a la ingeniería social. Como señaló ZachXBT, una de las «banderas rojas» para detectar a estos actores es su negativa a participar en reuniones en persona, una táctica que encaja perfectamente con el modus operandi de la campaña de NimDoor, donde el objetivo final es hacer que la víctima ejecute un archivo malicioso sin necesidad de una interacción cara a cara.
Se estima que en la primera mitad de 2025, los robos con criptomonedas acumularon más de $2.100 millones, protagonizados por los $1.400 millones robados por hackers de Corea del Norte (Grupo Lazarus) a Bybit.
