Arturo Trenard
Lazarus Group despliega nuevo malware «Mach-O Man» en macOS para atacar empresas de cripto y fintech
Investigadores de seguridad han identificado una nueva campaña de malware dirigida a sistemas macOS, denominada «Mach-O Man», y la han vinculado al infame Lazarus Group, el colectivo de hackers asociado a Corea del Norte. La campaña, señalada en un informe publicado el martes, utiliza esquemas avanzados de ingeniería social que simulan llamadas falsas de Zoom o Google Meet para comprometer equipos y sustraer credenciales, apuntando tanto a empresas de criptomonedas como a negocios tradicionales del sector fintech.
El mecanismo del ataque «ClickFix» y «Mach-O Man»
La puerta de entrada para esta amenaza es una técnica de ingeniería social bautizada como «ClickFix». Los atacantes se hacen pasar por colegas o contactos legítimos y envían a las víctimas invitaciones a supuestas llamadas urgentes de Zoom o Google Meet. Al hacer clic en el enlace malicioso, la víctima es persuadida para ejecutar comandos específicos en su terminal macOS, lo que resulta en la descarga y ejecución silenciosa del kit de malware «Mach-O Man» en segundo plano.
Este método permite a los atacantes «evadir controles tradicionales sin detección», al no depender de archivos ejecutables sospechosos que puedan ser bloqueados por software antivirus convencional.
Una vez instalado, «Mach-O Man» actúa como un «stealer» o ladrón de información. Su función principal es extraer datos sensibles del sistema infectado, incluyendo información de extensiones del navegador, credenciales almacenadas, cookies de sesión y entradas del llavero de macOS (Keychain). Tras recopilar los datos, el malware los comprime en un archivo ZIP y los exfiltra a servidores de los atacantes utilizando la plataforma de mensajería Telegram. Para cubrir sus huellas, el kit incluye un script de autodestrucción que utiliza el comando `rm` de Unix para eliminar sus componentes del sistema, dificultando el análisis forense posterior.
Vinculación con Lazarus Group y contexto de amenazas
Los investigadores atribuyen esta campaña con alta confianza al Lazarus Group, un actor de amenazas persistentes avanzadas (APT) patrocinado por Corea del Norte y conocido por sus sofisticados ataques financieros. El historial del grupo es notorio, siendo el principal sospechoso del mayor hackeo en la industria de las criptomonedas: el robo de aproximadamente 1.400 millones de dólares a la plataforma de intercambio Bybit en 2025.
Los analistas destacan que esta campaña evidencia cómo Lazarus «continúa expandiendo su targeting más allá de las empresas exclusivamente cripto», buscando ahora también comprometer a empresas de tecnología financiera tradicional.
Este ataque se enmarca en un patrón de actividad reciente. En abril de 2026, hackers norcoreanos utilizaron ingeniería social potenciada por inteligencia artificial para robar aproximadamente 100.000 dólares de una billetera de la plataforma Zerion. Además, las tácticas recuerdan a otras campañas atribuidas a Pyongyang, como la infiltración de trabajadores de TI falsos (conocida como «SEAL»). «Mach-O Man» representa así una adaptación del grupo a nuevos sistemas operativos, en este caso macOS, y a un espectro más amplio de objetivos dentro del sector financiero.
Impacto potencial y recomendaciones de seguridad
Las consecuencias para las empresas afectadas por esta campaña pueden ser graves. Los investigadores advierten que el robo de credenciales puede conducir a la toma de control de cuentas corporativas, acceso no autorizado a infraestructura crítica interna, significativas pérdidas financieras directas y la exposición de datos confidenciales de clientes o de la propia empresa.
Medidas de mitigación
Frente a esta amenaza, los expertos enfatizan la necesidad de medidas de mitigación proactivas. La principal recomendación es incrementar la concienciación sobre ingeniería social entre todos los empleados, alertando específicamente sobre invitaciones a reuniones virtuales inesperadas o de remitentes no verificados. Se insta a verificar la autenticidad de cualquier llamada o solicitud de reunión sospechosa a través de un canal de comunicación secundario y conocido.
Dado que el malware está diseñado para eludir controles de seguridad tradicionales, las organizaciones, especialmente aquellas en los sectores cripto y fintech, deben considerar soluciones de seguridad capaces de analizar comportamientos sospechosos en los endpoints con macOS, más allá de depender únicamente de la detección por firmas de virus conocidas. La vigilancia proactiva y la educación continua se presentan como defensas esenciales contra campañas sofisticadas como la desplegada por Lazarus Group.
