Una campaña reciente de ciberataques está utilizando la aplicación de toma de notas Obsidian como vector para distribuir malware, sin necesidad de explotar vulnerabilidades técnicas. La operación apunta principalmente a usuarios vinculados al ecosistema financiero y de criptomonedas, y se basa en el abuso de funcionalidades legítimas del software combinadas con técnicas de ingeniería social.
Según el análisis técnico publicado por Elastic Security Labs, los atacantes logran que las víctimas ejecuten código malicioso a través de plugins dentro de la propia aplicación, lo que les permite instalar un troyano de acceso remoto (RAT) denominado PHANTOMPULSE en los dispositivos comprometidos.
¿Cómo comienza el engaño?
La campaña, identificada como REF6598, comienza fuera del entorno técnico. Los atacantes contactan a sus objetivos a través de LinkedIn haciéndose pasar por representantes de una firma de capital de riesgo, y luego trasladan la conversación a Telegram, donde un grupo de supuestos socios discute temas de servicios financieros y soluciones de liquidez en criptomonedas. El entorno está construido para generar confianza.
Una vez establecida la relación, invitan a la víctima a colaborar usando Obsidian, presentándolo como la «base de datos de gestión» de la firma. Le proporcionan credenciales para acceder a un vault compartido en la nube, controlado en su totalidad por los atacantes.
Diagrama de Cadena de EjecuciónFuente: https://www.elastic.co/security-labs/phantom-in-the-vault
El vault como trampa
En Obsidian, un vault es una carpeta que almacena notas, configuraciones y extensiones del entorno de trabajo. El vault al que se invita a la víctima ya viene preparado para ejecutar el ataque.
El mecanismo central es el abuso de plugins legítimos, en particular Shell Commands, que permite ejecutar comandos del sistema según disparadores configurables como la apertura de la aplicación. Cuando la víctima habilita la sincronización de plugins comunitarios —un paso que los atacantes la instruyen a realizar manualmente—, la configuración maliciosa se descarga automáticamente y el código se ejecuta sin ninguna interacción adicional.
Un segundo plugin llamado Hider se usa en paralelo para ocultar elementos de la interfaz de Obsidian, haciendo que la actividad maliciosa sea menos visible para el usuario.
El resultado: control total del dispositivo
En sistemas Windows, los comandos activan un script PowerShell que descarga un loader intermedio llamado PHANTOMPULL, que a su vez descifra y ejecuta PHANTOMPULSE directamente en memoria. El troyano le otorga a los atacantes control remoto completo sobre el dispositivo: puede capturar pantalla, registrar teclas, inyectar código en otros procesos, escalar privilegios y transferir archivos.
En macOS, el ataque utiliza un dropper en AppleScript con mecanismos de fallback para resolver su servidor de comando y control a través de Telegram.
El ataque fue detectado y bloqueado por Elastic Defend antes de que los atacantes pudieran completar sus objetivos en el equipo comprometido, por lo que no hay víctimas confirmadas públicamente hasta el momento.
¿Por qué este ataque es diferente?
Uno de los aspectos más relevantes del caso es que no existe ninguna vulnerabilidad explotada en el software. La aplicación funciona según su diseño, y el ataque depende enteramente de que el usuario confíe en el entorno compartido y habilite manualmente funcionalidades que permiten la ejecución de código.
Este enfoque marca un cambio en el panorama de amenazas: en lugar de centrarse en fallas técnicas, los atacantes recurren cada vez más al uso indebido de herramientas legítimas combinadas con ingeniería social. En este contexto, el riesgo no reside únicamente en el software que se utiliza, sino también en cómo y con quién se utiliza.
IOCs (Indicadores de Compromiso)
Para equipos de seguridad y analistas, se publican a continuación los indicadores técnicos asociados a esta campaña:
| Tipo | Valor |
| Dirección Ethereum (C2) | 0xc117688c530b660e15085bF3A2B664117d8672aA |
| IP del servidor de descarga | 195.3.222[.]251 |
| Archivo descargado (Stage 1) | http://195.3.222[.]251/script1.ps1 |
| Dropper en macOS con C2 de respaldo vía Telegram | t[.]me/ax03bot |
Fuente
https://www.elastic.co/security-labs/phantom-in-the-vault
https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA