Puntos clave de la noticia:
- Investigadores vincularon una campaña de malware para macOS con Lazarus tras identificar el kit “Mach-O Man”, dirigido a usuarios cripto mediante falsas invitaciones a reuniones.
- Las víctimas son engañadas para ejecutar comandos durante llamadas falsas de Zoom o Google Meet, lo que habilita robo de credenciales, acceso al sistema y exfiltración de datos vía Telegram.
- La campaña se suma a otros ataques atribuidos a Corea del Norte, incluido el hack de Bybit por $1,400 millones y un robo reciente de $100,000 a Zerion.
El grupo Lazarus, vinculado a Corea del Norte, vuelve a estar asociado a una campaña cibernética contra la industria cripto, pero esta vez la puerta de entrada no es un smart contract ni la infraestructura de un exchange. Es una Mac en el escritorio de un ejecutivo. Lo que vuelve especialmente inquietante esta campaña es lo cotidiana que parece al principio: una reunión de negocios falsa, una invitación que imita una videollamada normal y, de pronto, un compromiso de credenciales y acceso corporativo. Investigadores de seguridad relacionaron esta nueva operación de malware para macOS con Lazarus tras identificar un kit conocido como “Mach-O Man”, un conjunto de herramientas diseñado para pasar de la ingeniería social al acceso encubierto al sistema.
La mecánica del ataque es inquietantemente simple. Las víctimas son atraídas a falsas sesiones de Zoom o Google Meet y luego persuadidas para ejecutar comandos por sí mismas, permitiendo que el malware se instale sin el paso más visible de una descarga maliciosa. Una vez activado, el kit opera en segundo plano y abre la puerta a secuestros de cuentas, accesos no autorizados a infraestructura, pérdidas financieras y exposición de datos sensibles de la empresa. La campaña fue detectada el martes y se describió como dirigida tanto a compañías tradicionales como a firmas vinculadas al ecosistema cripto, lo que refuerza la idea de que Lazarus está ampliando su alcance más allá de las organizaciones puramente cripto.
Una cadena de malware más silenciosa es la que hace el verdadero trabajo
La fase final deja claro por qué esta operación resulta tan preocupante. El malware está diseñado como un stealer oculto, capaz de extraer datos de extensiones del navegador, credenciales guardadas, cookies, entradas del macOS Keychain y otra información sensible de los equipos infectados. Después de recolectar esos datos, el kit los comprime en un archivo zip y los exfiltra mediante Telegram hacia los atacantes. Luego ejecuta un script de autodestrucción usando el comando rm, eliminándose del dispositivo sin pedir confirmación al usuario y ayudando a borrar señales de la intrusión.
Esa combinación de engaño, robo de credenciales y limpieza posterior hace que la operación se sienta menos como phishing rudimentario y más como un flujo de espionaje maduro. Para el sector cripto, el mensaje resulta difícil de ignorar: los atacantes ya no necesitan comprometer primero el código si pueden comprometer a las personas que operan los sistemas. Lazarus ha sido vinculado a algunos de los mayores robos del ecosistema, incluido el hack de Bybit por $1,400 millones en 2025. A comienzos de este mes, hackers norcoreanos también emplearon ingeniería social potenciada con IA para robar cerca de $100,000 a la firma de wallets cripto Zerion tras obtener acceso a sesiones, credenciales y claves privadas.
