Netcrook Logo
👤 LOGICFALCON
🗓️ 06 Apr 2026   🌍 Asia

Dentro de la Trampa Virtual: Hackers Norcoreanos se Hacen Pasar por Microsoft Teams para Atacar Empresas

Ciberdelincuentes vinculados a Corea del Norte están lanzando sofisticados ataques de malware al atraer a profesionales a reuniones falsas de Microsoft Teams.

Todo comienza con una simple invitación a una reunión: un correo electrónico o mensaje de un colega conocido, un reclutador o un socio comercial. La reunión está programada, el enlace parece familiar y la imagen de marca es impecable. Pero tras bambalinas, se despliega una elaborada artimaña, orquestada por los sombríos operadores cibernéticos de Corea del Norte. Su objetivo: tu confianza - y tus datos.

Datos Rápidos

  • El grupo de amenazas norcoreano UNC1069 utiliza dominios falsos de Microsoft Teams para ataques de ingeniería social.
  • Los atacantes elaboran invitaciones a reuniones muy convincentes, a menudo reactivando conversaciones antiguas desde cuentas comprometidas.
  • Dominios maliciosos, como onlivemeet[.]com, están diseñados para imitar a la perfección las interfaces de Microsoft Teams.
  • Las víctimas son engañadas para descargar troyanos de acceso remoto disfrazados de actualizaciones de software.
  • La campaña se basa en explotar la confianza en plataformas de comunicación conocidas como Slack, Telegram y LinkedIn.

Cómo se Desarrolla el Ataque

Investigadores de seguridad han descubierto una campaña en crecimiento en la que el grupo UNC1069, vinculado a Corea del Norte, utiliza dominios falsos de Microsoft Teams para lanzar ataques de malware dirigidos. El esquema es tan astuto como convincente: los atacantes crean páginas de reuniones falsas que son indistinguibles de las reales, utilizando URLs como onlivemeet[.]com para atraer a las víctimas.

Para maximizar la credibilidad, UNC1069 no se limita a enviar spam por internet. En su lugar, reactivan conversaciones antiguas desde cuentas de LinkedIn y Telegram previamente comprometidas, o envían ofertas de trabajo y asociaciones a través de chats empresariales fabricados en Slack. En algunos casos, incluso se programan reuniones falsas mediante servicios legítimos como Calendly, añadiendo otra capa de autenticidad.

Una vez que la víctima hace clic en el aparentemente inofensivo enlace de la reunión, es dirigida a un portal falso de Microsoft Teams. Allí, se le informa que un componente técnico (“TeamsFx SDK”) ha quedado obsoleto y se le solicita descargar una “actualización” - que en realidad es un Troyano de Acceso Remoto (RAT) diseñado para robar datos sensibles o proporcionar acceso encubierto al dispositivo de la víctima.

Este ataque pone de relieve una tendencia crítica en el cibercrimen: la sofisticación técnica ahora va de la mano con la astucia psicológica. Los atacantes invierten en una ingeniería social detallada, construyendo confianza y explotando el flujo natural de las comunicaciones empresariales. Un rostro familiar, una solicitud rutinaria, un dominio de aspecto profesional - éstas son las nuevas herramientas del estafador digital.

Cómo Protegerse en un Mundo de Engaños Digitales

La mejor defensa contra estos ataques es la vigilancia. Los expertos en seguridad instan a organizaciones e individuos a verificar siempre el destino real de los enlaces de reuniones antes de hacer clic, y a tratar todas las solicitudes inesperadas - aun de contactos conocidos - con sano escepticismo. Si una invitación a reunión o actualización de software parece urgente o fuera de lugar, detente y verifica dos veces.

A medida que los ciberdelincuentes evolucionan, también deben hacerlo nuestras defensas. En la batalla por la confianza, la conciencia es la primera - y a menudo la última - línea de defensa.

WIKICROOK

  • Troyano de Acceso Remoto (RAT): Un Troyano de Acceso Remoto (RAT) es un malware que permite a los atacantes controlar en secreto la computadora de una víctima desde cualquier lugar, facilitando el robo y el espionaje.
  • Ingeniería Social: La ingeniería social es el uso del engaño por parte de hackers para inducir a las personas a revelar información confidencial o proporcionar acceso no autorizado a sistemas.
  • Carga Útil: Una carga útil es la parte dañina de un ciberataque, como un virus o spyware, que se entrega a través de correos electrónicos o archivos maliciosos cuando la víctima interactúa con ellos.
  • Suplantación de Dominio: La suplantación de dominio ocurre cuando los atacantes crean sitios web o correos electrónicos falsos que se parecen mucho a los reales para engañar a los usuarios y robar información sensible.
  • Cuenta Comprometida: Una cuenta comprometida es un correo electrónico o cuenta de usuario que ha sido tomada por atacantes, a menudo utilizada para robar datos, propagar malware o suplantar al usuario.
North Korean hackers Microsoft Teams cybercrime
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news