### Acceso Inicial vía LinkedIn y Telegram El ataque comienza con elaboradas tácticas de ingeniería social en **LinkedIn** y **Telegram**. Los actores de amenazas se hacen pasar por una firma de capital de riesgo, contactando a posibles víctimas en **LinkedIn** y luego trasladando la conversación a un grupo de **Telegram** para establecer credibilidad. ### Abuso de Plugins Comunitarios de Obsidian Se instruye al objetivo a usar **Obsidian** para acceder a un panel compartido conectándose a una bóveda alojada en la nube. Esta bóveda activa la secuencia de infección al abrirse, solicitando al usuario que habilite la sincronización de "Plugins comunitarios instalados", lo que ejecuta código malicioso. Los investigadores Salim Bitam, Samir Bousseaden y Daniel Stepanic de **Elastic Security Labs** destacaron el abuso del ecosistema de plugins comunitarios de **Obsidian**, específicamente los plugins [Shell Commands](https://github.com/Taitava/obsidian-shellcommands) y [Hider](https://github.com/kepano/obsidian-hider). Estos plugins ejecutan código de forma silenciosa cuando una víctima abre la bóveda maliciosa. El atacante debe convencer al objetivo de habilitar manualmente la sincronización de plugins comunitarios, ya que está deshabilitada por defecto. El plugin **Hider** se utiliza junto con **Shell Commands** para ocultar ciertos elementos de la interfaz de usuario de **Obsidian**. ### Despliegue de PHANTOMPULSE RAT En Windows, los comandos ejecutados invocan un script de **PowerShell** para dejar un cargador intermedio llamado **PHANTOMPULL**, que descifra y lanza **PHANTOMPULSE** en memoria. **PHANTOMPULSE** es un backdoor generado por IA que utiliza la blockchain de **Ethereum** para resolver su servidor de comando y control (C2). Obtiene la última transacción asociada con una dirección de billetera codificada ([https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA](https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA)). El malware utiliza **WinHTTP** para la comunicación, lo que le permite enviar datos de telemetría del sistema, obtener comandos, transmitir resultados de ejecución, cargar archivos/capturas de pantalla y capturar pulsaciones de teclas. Los comandos soportados incluyen: * `inject`: Inyectar shellcode/DLL/EXE en el proceso objetivo. * `drop`: Dejar un archivo en disco y ejecutarlo. * `screenshot`: Capturar y subir una captura de pantalla. * `keylog`: Iniciar/detener un registrador de teclas. * `uninstall`: Iniciar la eliminación de la persistencia y realizar limpieza. * `elevate`: Escalar privilegios a SYSTEM a través del [COM elevation moniker](https://learn.microsoft.com/en-us/windows/win32/com/the-com-elevation-moniker). * `downgrade`: Transición de SYSTEM a administrador elevado. ### Vector de Ataque en macOS En macOS, el plugin **Shell Commands** entrega un dropper ofuscado de **AppleScript** que itera sobre una lista de dominios codificada, utilizando **Telegram** como un "dead drop" para la resolución de C2 de respaldo. Esto permite una fácil rotación de la infraestructura C2. El script dropper contacta el dominio C2 para descargar y ejecutar un payload de segunda etapa a través de `osascript`. La naturaleza exacta de este payload es actualmente desconocida ya que los servidores C2 están fuera de línea. La intrusión fue detectada y bloqueada antes de que el adversario pudiera lograr sus objetivos. ### Conclusión **Elastic** concluye que **REF6598** demuestra cómo los actores de amenazas están abusando creativamente de aplicaciones confiables para el acceso inicial y empleando ingeniería social dirigida. Al explotar el ecosistema de plugins comunitarios de **Obsidian**, los atacantes evaden los controles de seguridad tradicionales, confiando en la funcionalidad prevista de la aplicación para ejecutar código arbitrario.