{"id":584,"date":"2026-04-16T17:31:57","date_gmt":"2026-04-16T17:31:57","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/16\/el-abuso-del-complemento-obsidian-genera-rat-phantompulse-en-finanzas-dirigidas-y-ataques-criptograficos-cyberdefensa-mx\/"},"modified":"2026-04-16T17:31:57","modified_gmt":"2026-04-16T17:31:57","slug":"el-abuso-del-complemento-obsidian-genera-rat-phantompulse-en-finanzas-dirigidas-y-ataques-criptograficos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/16\/el-abuso-del-complemento-obsidian-genera-rat-phantompulse-en-finanzas-dirigidas-y-ataques-criptograficos-cyberdefensa-mx\/","title":{"rendered":"El abuso del complemento Obsidian genera RAT PHANTOMPULSE en finanzas dirigidas y ataques criptogr\u00e1ficos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha observado una \u00abnovedosa\u00bb campa\u00f1a de ingenier\u00eda social que abusa de Obsidian, una aplicaci\u00f3n multiplataforma para tomar notas, como vector de acceso inicial para distribuir un troyano de acceso remoto de Windows previamente indocumentado llamado PHANTOMPULSE en ataques dirigidos a individuos en los sectores financiero y de criptomonedas.<\/p>\n

Apodado REF6598<\/strong><\/a> Seg\u00fan Elastic Security Labs, se descubri\u00f3 que la actividad aprovecha elaboradas t\u00e1cticas de ingenier\u00eda social a trav\u00e9s de LinkedIn y Telegram para violar los sistemas Windows y macOS, acerc\u00e1ndose a personas potenciales bajo la apariencia de una empresa de capital de riesgo y luego trasladando la conversaci\u00f3n a un grupo de Telegram donde est\u00e1n presentes varios supuestos socios.<\/p>\n

El chat grupal de Telegram est\u00e1 dise\u00f1ado para darle a la operaci\u00f3n una pizca de credibilidad, y los miembros discuten temas relacionados con servicios financieros y soluciones de liquidez de criptomonedas. Luego se le indica al objetivo que use Obsidian para acceder a lo que parece ser un panel compartido conect\u00e1ndose a un b\u00f3veda alojada en la nube<\/a> utilizando las credenciales que se les proporcionaron.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Es esta b\u00f3veda la que desencadena la secuencia de infecci\u00f3n. Tan pronto como se abre la b\u00f3veda en la aplicaci\u00f3n para tomar notas, se solicita al objetivo que habilite la sincronizaci\u00f3n de \u00abComplementos comunitarios instalados\u00bb, lo que provoca efectivamente la ejecuci\u00f3n de c\u00f3digo malicioso.<\/p>\n

\u00abLos actores de amenazas abusan del ecosistema leg\u00edtimo de complementos comunitarios de Obsidian, espec\u00edficamente el Comandos de shell<\/a> y Ocultador<\/a> complementos, para ejecutar c\u00f3digo silenciosamente cuando una v\u00edctima abre una b\u00f3veda en la nube compartida\u00bb, dijeron los investigadores Salim Bitam, Samir Bousseaden y Daniel Stepanic en un desglose t\u00e9cnico de la campa\u00f1a.<\/p>\n

Dado que la opci\u00f3n est\u00e1 deshabilitada de forma predeterminada y no se puede activar de forma remota, el atacante debe convencer al objetivo de que active manualmente la sincronizaci\u00f3n del complemento comunitario en su dispositivo para que la configuraci\u00f3n de la b\u00f3veda maliciosa pueda activar la ejecuci\u00f3n de comandos a trav\u00e9s del complemento Shell Commands. Tambi\u00e9n se utiliza junto con Shell Commands otro complemento llamado Hider para ocultar ciertos elementos de la interfaz de usuario de Obsidian, como la barra de estado, la barra de desplazamiento, la informaci\u00f3n sobre herramientas y otros.<\/p>\n

\u00abSi bien este ataque requiere ingenier\u00eda social para cruzar el l\u00edmite de sincronizaci\u00f3n de complementos de la comunidad, la t\u00e9cnica sigue siendo notable: abusa de una caracter\u00edstica de aplicaci\u00f3n leg\u00edtima como canal de persistencia y ejecuci\u00f3n de comandos, la carga \u00fatil reside completamente dentro de archivos de configuraci\u00f3n JSON que es poco probable que activen AV tradicionales. [antivirus] firmas y la ejecuci\u00f3n se realiza mediante una aplicaci\u00f3n Electron confiable y firmada, lo que hace que la detecci\u00f3n basada en procesos principales sea la capa cr\u00edtica\u00bb, dijeron los investigadores.<\/p>\n

Las rutas de ejecuci\u00f3n dedicadas se activan seg\u00fan el sistema operativo. En Windows, los comandos se utilizan para invocar un script de PowerShell para colocar un cargador intermedio con nombre en c\u00f3digo PHANTOMPULL que descifra e inicia PHANTOMPULSE en la memoria.<\/p>\n

PHANTOMPULSE es una puerta trasera generada por inteligencia artificial (IA) que utiliza la cadena de bloques Ethereum para resolver su servidor de comando y control (C2) recuperando el \u00faltima transacci\u00f3n<\/a> asociado con un direcci\u00f3n de billetera codificada<\/a>. Al obtener la direcci\u00f3n C2, el malware utiliza WinHTTP para las comunicaciones, lo que le permite enviar datos de telemetr\u00eda del sistema, buscar comandos y transmitir los resultados de la ejecuci\u00f3n, cargar archivos o capturas de pantalla y capturar pulsaciones de teclas.<\/p>\n

Los comandos admitidos est\u00e1n dise\u00f1ados para facilitar el acceso remoto completo:<\/p>\n