Se ha advertido a los criptousuarios de una nueva estafa de ingeniería social que engaña a las víctimas para que utilicen complementos comunitarios en la aplicación de notas Obsidian con el fin de ejecutar, sin saberlo, malware capaz de tomar el control de sus dispositivos.
Elastic Security Labs afirmó en un informe publicado el martes que había detectado una novedosa campaña dirigida a usuarios del sector de las criptomonedas y las finanzas que utiliza “una elaborada ingeniería social en LinkedIn y Telegram” para engañar a las víctimas y que estas permitan la ejecución en sus dispositivos de software malicioso, aunque aparentemente seguro.
Los atacantes abusan del ecosistema de complementos de la comunidad de Obsidian para “ejecutar código de forma silenciosa cuando una víctima abre un almacén compartido en la nube”, y los ataques funcionan tanto en dispositivos Windows como macOS.
Se trata de la última campaña de ataques conocida dirigida a usuarios de criptomonedas, un objetivo popular para los estafadores, ya que las transacciones de blockchain no se pueden revertir. En 2025, se robaron 713 millones de dólares a través de vulneraciones de monederos de criptomonedas individuales, según Chainalysis.
Elastic explicó que los estafadores contactan con las víctimas en LinkedIn haciéndose pasar por una empresa de capital de riesgo y, finalmente, desvían la conversación a Telegram para hablar de “servicios financieros, concretamente soluciones de liquidez de criptomonedas, creando un contexto empresarial plausible”.
Los atacantes piden a su objetivo que utilice Obsidian, presentándolo como la base de datos de su empresa falsa para acceder a un panel compartido, y a la víctima potencial se le proporciona un nombre de usuario para conectarse a una caja fuerte alojada en la nube controlada por los atacantes.
“Esta caja fuerte es el vector de acceso inicial”, afirmó Elastic. “Una vez abierta en Obsidian, se indica a la víctima que habilite la sincronización de los complementos de la comunidad. A continuación, los complementos troyanizados ejecutan silenciosamente la cadena de ataque”.
Los ataques difieren ligeramente en Windows y macOS, pero ambos despliegan un troyano de acceso remoto (RAT) no documentado anteriormente, al que Elastic ha bautizado como “PHANTOMPULSE”.
El malware, que se disfraza de software legítimo, otorga a los atacantes el control sobre el dispositivo de la víctima; Elastic añade que fue “diseñado para el sigilo, la resiliencia y un acceso remoto completo”.
Elastic afirmó que PHANTOMPULSE utiliza un mecanismo de comando y control descentralizado a través de al menos tres redes blockchain diferentes, utilizando datos de transacciones on-chain vinculados a un monedero específico para conectarse con el atacante y recibir instrucciones.
“Esta técnica proporciona al operador una capacidad de rotación independiente de la infraestructura”, afirmó Elastic. “Dado que las transacciones de blockchain son inmutables y de acceso público, el malware siempre puede localizar su C2 [mecanismo de comando y control] sin depender de una infraestructura centralizada”.
“El uso de tres cadenas independientes añade redundancia: incluso si el explorador de una cadena está bloqueado o no está disponible, las dos restantes proporcionan rutas de resolución alternativas”, añadió.
Elastic afirmó que fue capaz de bloquear el ataque, pero esto demuestra que los atacantes “siguen encontrando vectores de acceso iniciales creativos”, ya que el abuso del ecosistema de complementos gestionado por la comunidad de Obsidian les permitió eludir “por completo los controles de seguridad tradicionales, valiéndose de la funcionalidad prevista de la aplicación para ejecutar código arbitrario”.
Añadió que las empresas financieras y de criptomonedas “deben ser conscientes de que las herramientas de productividad legítimas pueden convertirse en vectores de ataque”, y que las organizaciones deben aplicar políticas de complementos a nivel de aplicación para defenderse de ataques similares.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
