Una nueva campaña de malware para macOS del Grupo Lazarus de Corea del Norte convierte las llamadas de negocios rutinarias en una puerta de entrada para robar millones a empresas de criptomonedas y tecnología financiera.
Atrás
Atrás
Lazarus Group despliega un nuevo malware para Mac tras robar 500 millones de dólares
Los piratas informáticos patrocinados por el estado de Corea del Norte del Grupo Lazarus están desplegando un nuevo malware de varias etapas para macOS llamado “Mach-O Man”, dirigido a ejecutivos de los sectores de criptomonedas y tecnología financiera. La campaña, identificada a mediados de abril de 2026, ya ha sido vinculada al grupo responsable de robos de criptomonedas por valor de más de 500 millones de dólares solo en el último mes.
“Lo que hace que Lazarus sea especialmente peligroso en este momento es su nivel de actividad”, dijo a CoinDesk Natalie Newson, investigadora senior de seguridad de blockchain en CertiK. “Esto no es un hackeo aleatorio; es una operación financiera dirigida por un estado que funciona a una escala y velocidad típicas de las instituciones”.
El ataque utiliza una técnica de ingeniería social denominada “ClickFix”, que atrae a las víctimas en Telegram a falsas llamadas de Zoom o Google Meet. Un mensaje de error fraudulento pide al usuario que pegue un comando en la terminal de su Mac, lo que instala el malware saltándose los controles de seguridad nativos. La carga útil final, Macrasv2, exfiltra datos del navegador, cookies y entradas sensibles del Llavero (Keychain) de macOS a través de un bot de Telegram.
La campaña aumenta significativamente el riesgo de seguridad operativa para los proyectos de criptomonedas, donde el compromiso de las credenciales de desarrolladores o ejecutivos puede provocar pérdidas catastróficas, como se vio en los recientes exploits de 292 millones de dólares de KelpDAO y 285 millones de dólares de Drift. La naturaleza modular del malware y su uso por parte de otros grupos de ciberdelincuencia sugieren que su amenaza probablemente se expandirá, obligando a las empresas a defenderse contra ataques que se originan en las acciones de confianza de sus propios empleados.
Cómo el ataque 'Mach-O Man' elude la seguridad de macOS
La principal innovación de la campaña Mach-O Man es su dependencia de la ingeniería social para eludir las funciones de seguridad integradas de Apple. El ataque comienza cuando un objetivo recibe una invitación de reunión urgente en una plataforma como Telegram, aparentemente de un colega de confianza, para una llamada en Zoom, Microsoft Teams o Google Meet.
El enlace dirige a una página web convincente pero falsa que simula un problema de conexión. Para “resolver” el problema, el sitio indica al usuario que copie y pegue una línea de código en la aplicación Terminal de su Mac. Debido a que el usuario inicia el comando por sí mismo, se eluden las funciones de seguridad de macOS como Gatekeeper, que normalmente bloquean las aplicaciones no verificadas.
Tras la ejecución, el comando descarga un binario inicial llamado teamsSDK.bin. A continuación, el malware descarga un paquete de aplicación falso y pide repetidamente al usuario su contraseña con avisos del sistema mal traducidos pero de apariencia auténtica, asegurándose así de obtener los permisos necesarios.
Un ladrón autodestructivo que deja pocos rastros
El malware funciona en cuatro etapas distintas. Tras la infección inicial, un módulo de perfilado recopila información del sistema —incluido el nombre del host, detalles de la CPU y configuración de la red— y registra a la víctima en el servidor de comando y control (C2) de los atacantes.
A continuación, un módulo de persistencia llamado minst2.bin garantiza que el malware sobreviva a un reinicio. Suelta un archivo plist de LaunchAgent, com.onedrive.launcher.plist, que vuelve a lanzar el malware en cada inicio de sesión haciéndose pasar por un proceso legítimo de “OneDrive” o “Servicio Antivirus”.
La etapa final es el propio ladrón, una carga útil identificada como Macrasv2. Este componente está diseñado para extraer datos de extensiones de navegador para Chrome, Firefox, Safari, Brave y otros. Se dirige a credenciales almacenadas, cookies de bases de datos SQLite y entradas sensibles en el Llavero de macOS. Una vez recopilados, los datos se comprimen y se exfiltran utilizando la API del bot de Telegram antes de que el malware elimine la mayoría de sus rastros del sistema.
Los hackers son hackeados
En un giro notable de los acontecimientos, la propia seguridad operativa de los atacantes resultó ser inadecuada. Mauro Eldritch, fundador de la empresa de inteligencia de amenazas BCA Ltd., descubrió dos vulnerabilidades críticas en la infraestructura C2 del Grupo Lazarus.
Según un informe de Eldritch, el código del malware expuso el token de la API para el bot de Telegram utilizado para la exfiltración de datos. Esta clave permitió a los investigadores identificar al propietario del bot e interrumpir sus canales con spam. Además, el servidor C2 tenía un fallo que permitía la carga de archivos sin restricciones, lo que permitió a los investigadores inundar la infraestructura de los atacantes con datos basura y provocar eficazmente una interrupción. Aunque esto supuso un revés temporal para los hackers, el kit de malware Mach-O Man sigue siendo una amenaza activa y en evolución.
Este artículo tiene únicamente fines informativos y no constituye asesoramiento de inversión.
[1] El Grupo Lazarus de Corea del Norte apunta a ejecutivos de alto valor y criptomonedas con el kit de malware 'Mach-O Man'[2] El Grupo Lazarus se ha vuelto especialmente peligroso con el nuevo ataque Mach-O Man: CertiK[3] Un malware vinculado a Lazarus golpea a empresas de criptomonedas y tecnología financiera[4] Hackers norcoreanos crean un malware para macOS “reluciente y nuevo”, pero ellos mismos son hackeados
Características
Recursos
© 2026 Finture Development Limited. Todos los derechos reservados.