El Ecosistema Startup > Blog > Actualidad Startup > PHANTOMPULSE: RAT ataca Obsidian en campaña a fintech
Malware PHANTOMPULSE atacando infraestructura de startups fintech y cripto a través de plugins de Obsidian.

PHANTOMPULSE: RAT ataca Obsidian en campaña a fintech

por

¿Qué es PHANTOMPULSE y por qué debería importarte?

Una campaña de ciberataques identificada como REF6598 está utilizando la aplicación de notas Obsidian para desplegar un Remote Access Trojan (RAT) llamado PHANTOMPULSE, dirigido específicamente a profesionales del sector financiero y cripto en Windows y macOS.

Lo alarmante: este ataque no explota ninguna vulnerabilidad técnica. En su lugar, abusa de funcionalidades legítimas de plugins comunitarios, engañando a usuarios para que habiliten código malicioso voluntariamente. Para founders de fintech y startups cripto, esto representa una amenaza crítica porque un solo equipo comprometido puede dar acceso a toda la infraestructura corporativa.

¿Cómo funciona exactamente el ataque?

La cadena de infección sigue un patrón sofisticado de ingeniería social en cuatro fases:

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad
  • Fase 1 - Construcción de confianza: Los atacantes contactan objetivos mediante LinkedIn y Telegram, creando perfiles falsos con supuesta experiencia en venture capital o inversión cripto
  • Fase 2 - Distribución de plugins: Desarrollan plugins comunitarios que imitan extensiones legítimas, principalmente Shell Commands y Hider
  • Fase 3 - Sincronización maliciosa: La víctima es instruida para habilitar sincronización de plugins en una bóveda (vault) compartida de Obsidian
  • Fase 4 - Ejecución automática: El plugin se configura para autoiniciarse cada vez que se abre Obsidian, sin requerir interacción adicional del usuario

En Windows, el ataque descarga un script PowerShell intermedio y un cargador personalizado llamado syncobs.exe que se obtiene del servidor 195.3.222.251. En macOS, utiliza AppleScript ofuscado y establece persistencia mediante plist de LaunchAgent.

¿Por qué PHANTOMPULSE es diferente a otros malware?

La característica más distinguida de este RAT es su arquitectura de Comando y Control (C2) basada en blockchain de Ethereum. En lugar de depender de servidores centralizados que pueden ser bloqueados, PHANTOMPULSE:

  • Recupera instrucciones de transacciones de Ethereum vinculadas a billeteras de criptomonedas específicas
  • Utiliza tres redes blockchain independientes para redundancia extrema
  • Camufla instrucciones entre millones de transacciones legítimas
  • Continúa funcionando incluso si una red blockchain es interrumpida

Según Elastic Security Labs, esta es la primera documentación extensiva de un RAT dirigido a fintech que usa blockchain como infraestructura C2 descentralizada. Las funcionalidades core incluyen captura de pantalla en tiempo real, keylogging, inyección de código en procesos (T1055.002), escalación de privilegios y exfiltración de datos con encriptación AES-256.

¿Qué sectores están en la mira?

La campaña se dirige específicamente a:

  • Profesionales del sector financiero tradicional
  • Desarrolladores e inversores en ecosistema cripto
  • Personal de startups fintech
  • Traders y analistas de criptomonedas

El riesgo crítico: un solo ejecutivo comprometido puede permitir acceso a billeteras crypto, cuentas bancarias online, claves privadas, seed phrases y credenciales de exchanges. Además, facilita movimiento lateral a redes empresariales completas.

¿Qué significa esto para tu startup?

Si fundas o trabajas en una startup fintech, cripto o cualquier negocio que maneje datos sensibles, esta amenaza requiere acción inmediata. No se trata de teoría: los atacantes están activos y dirigidos desde abril de 2026.

Acciones concretas para implementar hoy:

  1. Auditoría urgente de Obsidian: Desinstala o desactiva todos los plugins comunitarios no esenciales. Deshabilita la sincronización automática de plugins en configuración. Revisa el historial de plugins instalados recientemente en todos los dispositivos del equipo.
  2. Migra secretos a herramientas especializadas: Nunca almacenes seed phrases, claves privadas o credenciales en aplicaciones de notas (Obsidian, Notion, Evernote). Implementa secret management tools como HashiCorp Vault o AWS Secrets Manager con acceso basado en roles (RBAC).
  3. Despliega EDR en todos los endpoints: Soluciones como CrowdStrike o Microsoft Defender para Endpoint pueden detectar comportamiento anómalo. Configura alertas para conexiones a 195.3.222.251 o comunicación con panel.fefea22134.net.
  4. Capacitación anti-phishing específica: Entrena a tu equipo para identificar ingeniería social en LinkedIn y Telegram. Los atacantes construyen relaciones de confianza durante semanas antes del ataque.
  5. Implementa MFA obligatorio: No uses SMS. Implementa FIDO2 o autenticadores hardware (YubiKey) para acceso a sistemas críticos.

Indicadores de compromiso (IoCs) para monitorear:

  • Presencia de syncobs.exe en sistemas Windows
  • Conexiones de red a 195.3.222.251
  • Comunicación con panel.fefea22134.net
  • Procesos PowerShell no autorizados
  • Invocaciones sospechosas de rundll32.exe
  • Archivos plist de LaunchAgent en ~/Library/LaunchAgents/ (macOS)
  • Comunicaciones de Telegram no autorizadas en background

¿Cómo prevenir ataques similares en el futuro?

PHANTOMPULSE es parte de una tendencia creciente de supply chain attacks mediante plugins de aplicaciones populares. Casos históricos incluyen ataques a repositorios npm/PyPI, el incidente SolarWinds (2020) y CoDev (2021). Obsidian es particularmente vulnerable por su arquitectura abierta, sistema de plugins sin curación exhaustiva y sincronización automática sin verificación adicional.

Para startups, establece políticas corporativas de Zero-Trust para herramientas de productividad: no permitas plugins de terceros sin aprobación de IT, realiza auditorías mensuales de aplicaciones instaladas y considera sandboxing de aplicaciones con permisos de sistema.

La lección clave: la confianza no es un mecanismo de seguridad. Incluso aplicaciones legítimas y ampliamente usadas pueden convertirse en vectores de ataque cuando se combinan con ingeniería social efectiva.

Fuentes

  1. https://cyber.netsecops.io/articles/obsidian-plugin-abused-in-campaign-to-deploy-phantom-pulse-rat/ (fuente original)
  2. https://www.elastic.co/es/security-labs/topics/threat-intelligence (Elastic Security Labs)
  3. https://ciberprisma.org/2026/04/16/el-bloc-de-notas-como-trampa-como-phantompulse-usa-obsidian-para-infectar-equipos-sin-explotar-ninguna-vulnerabilidad/ (análisis técnico)
  4. https://socprime.com/es/active-threats/boveda-obsidian-utilizado-para-distribuir-phantompulse-rat/ (técnicas MITRE ATT&CK)
  5. https://mundocriptomonedas.net/phantompulse-el-nuevo-malware-que-ataca-a-usuarios-cripto/ (impacto sector cripto)

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Comparativa visual de Notion, Obsidian y Todoist para founders, destacando productividad y gestión en startups.Notion vs Obsidian vs Todoist 2026: guía para founders Fundador de startup trabajando con interfaz digital de automatización y sincronización segura usando Obsidian Sync headless en entorno tecnológico moderno.Obsidian Sync Headless: Automatización para Startups Tech Visualización de amenaza de backdoor en plugins de WordPress ilustrando un ataque a la cadena de suministro y riesgos de seguridad.30 plugins de WordPress con backdoor: actúa ya Imagen que representa la seguridad en npm y la respuesta a un ataque de cadena de suministro en startups tecnológicas.npm, seguridad y startups: lecciones del ataque a Axios App Tolaria en macOS para gestión de conocimiento en Markdown con integración de IA y Git, optimizada para founders.Tolaria: app open-source macOS para gestionar conocimiento en Markdown

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly