Los hackers norcoreanos atacan las criptomonedas con malware para Mac

La firma de ciberseguridad Huntress ha descubierto una campaña de hacking altamente sofisticada que apunta a usuarios de Mac en el sector de las criptomonedas, que utilizó llamadas de Zoom con deepfake, ingenio social y malware específico para Mac en una operación inusualmente sofisticada.

Huntress comenzó a investigar la intrusión el 11 de junio de 2025, después de que un socio informara sobre actividad sospechosa. El ataque fue finalmente atribuido al grupo de hackers norcoreanos BlueNoroff (también conocido como Sapphire Sleet o TA444), que ha estado atacando el sector de las criptomonedas con campañas motivadas financieramente desde al menos 2017.

Los hackers apuntan específicamente a usuarios de macOS utilizando tecnología de deepfake para hacerse pasar por ejecutivos de la empresa en reuniones falsas de Zoom para robar criptomonedas.

¿Cómo Funciona el Engaño?

Todo comenzó cuando un empleado (objetivo) de una fundación de criptomonedas recibió un mensaje aparentemente inocuo de un contacto externo en su Telegram solicitando una reunión. El atacante compartió un enlace de Calendly que parecía programar una llamada de Google Meet, pero al hacer clic, redirigió al usuario a un dominio falso de Zoom controlado por el actor de la amenaza.

Varias semanas después, el empleado se unió a una “reunión de Zoom” poblada por deepfakes que imitaban a la alta dirección de su empresa, junto con contactos externos. Durante la reunión, el empleado no pudo usar su micrófono, y los deepfakes le instruyeron para que descargara una “extensión de Zoom”. El enlace a esta extensión enviado a través de Telegram resultó ser un archivo AppleScript malicioso (zoom_sdk_support.scpt) disfrazado como una herramienta de solución de problemas.

Una vez descargado, el AppleScript primero abrió una página web legítima para SDKs de Zoom, pero después de más de 10,500 líneas en blanco, descargó una carga útil de un sitio web malicioso, https[://]support[.]us05web-zoom[.]biz, y la ejecutó.

Para cuando Huntress comenzó su investigación, la carga útil final ya había sido eliminada del servidor del atacante. Sin embargo, pudieron encontrar una versión en VirusTotal que ofrecía información valiosa sobre lo que se diseñó para hacer el malware.

“El script comienza deshabilitando el registro del historial de bash y luego verifica si Rosetta 2, que permite a las Macs con Apple Silicon ejecutar binarios x86_64, está instalado”, explicaron los investigadores de Huntress en una publicación de blog el miércoles.

“Si no está, lo instala silenciosamente para asegurar que los payloads x86_64 puedan ejecutarse. Luego crea un archivo llamado .pwd, que está oculto de la vista del usuario debido al punto que lo precede y descarga la carga útil de la página falsa de Zoom a /tmp/icloud_helper.”

Un Malware Personalizado y Específico para Mac

A diferencia del malware estándar de estantería, este ataque involucró un kit de herramientas construido a medida con al menos ocho componentes separados, todos específicamente diseñados para macOS. Eran:

• Telegram 2: El binario persistente, escrito en Nim, que era responsable de iniciar la puerta trasera principal.
• Root Troy V4 (remoted): Una puerta trasera completa escrita en Go, capaz de descargar y ejecutar otras herramientas maliciosas.
• InjectWithDyld (“a”): Un cargador binario en C++ descargado por Root Troy V4, responsable de descifrar y cargar dos implantes adicionales.
• Base App: Una aplicación de Swift aparentemente inofensiva que sirve como el objetivo de inyección para el código malicioso.
• Payload: Un implante diferente escrito en Nim, diseñado para ejecutar comandos en el sistema infectado.
• XScreen (keyboardd): Un potente keylogger escrito en Objective-C, capaz de capturar pulsaciones de teclas, contenido del portapapeles y actividad en pantalla.
• CryptoBot (airmond): Una herramienta basada en Go diseñada para recopilar archivos relacionados con criptomonedas de la máquina de la víctima.
• NetChk: Un binario de señuelo sin función significativa, que generará números aleatorios para siempre, probablemente incluido para ofuscación o desvío.

Notablemente, el malware utilizó trucos ingeniosos para evitar la detección, como ejecutar comandos solo cuando la pantalla de la Mac estaba en reposo. Fue cuidadosamente diseñado para eludir las capas de seguridad de macOS utilizando AppleScript e inyección de procesos.

Llamada de Advertencia para Usuarios de macOS

Históricamente, macOS ha sido visto como un sistema operativo más seguro, pero esa percepción está cada vez más desactualizada. A medida que más empresas adoptan Macs y el trabajo remoto se convierte en estándar, los atacantes se están adaptando rápidamente.

“En los últimos años, hemos visto que macOS se convierte en un objetivo más grande para los actores de amenazas, especialmente en lo que respecta a atacantes altamente sofisticados y patrocinados por el estado”, señalaron los investigadores de Huntress. “A medida que estos ataques y la frecuencia con la que ocurren continúan aumentando, será cada vez más importante proteger tus Macs.”

Esta campaña deja claro una cosa: cuando grupos respaldados por el estado como BlueNoroff están involucrados, incluso una videollamada no siempre es lo que parece.