Por Canuto Una nueva campaña atribuida al grupo Lazarus está convirtiendo videollamadas de negocios aparentemente normales en una vía de acceso a sistemas corporativos, credenciales y recursos financieros. El ataque, centrado en equipos Mac y bautizado como Mach-O Man, preocupa a expertos por su velocidad, su enfoque modular y la dificultad para detectarlo a tiempo.
***
- CertiK advirtió que Lazarus impulsa una campaña llamada Mach-O Man dirigida a ejecutivos de cripto, fintech y otros sectores de alto valor.
- El ataque usa la técnica de ingeniería social ClickFix, que convence a la víctima de pegar un comando en la terminal de su Mac durante una falsa reunión en línea.
- Investigadores señalan que el malware puede autodestruirse antes de que la víctima detecte el compromiso, complicando el rastreo forense.
El grupo Lazarus, vinculado a Corea del Norte, está detrás de una nueva campaña de malware para macOS que apunta a ejecutivos y empresas de criptomonedas, fintech y otros sectores de alto valor.
La operación, conocida como Mach-O Man, aprovecha interacciones comerciales comunes para convertirlas en una puerta de entrada a sistemas internos, credenciales y recursos financieros.
La alerta fue detallada por investigadores de seguridad, que describen esta ofensiva como una evolución preocupante en la forma en que actores estatales y grupos criminales se infiltran en compañías expuestas a grandes volúmenes de capital digital. En lugar de depender solo de vulnerabilidades técnicas, la campaña combina malware modular con manipulación psicológica de la víctima.
Según explicó CertiK, el objetivo son perfiles con acceso sensible dentro de organizaciones de alto valor. Eso incluye ejecutivos con permisos sobre plataformas SaaS, cuentas corporativas y flujos financieros. El riesgo, por tanto, no se limita a la pérdida de datos, sino que puede traducirse en robo de credenciales y acceso directo a infraestructura crítica.
Natalie Newson, investigadora sénior de seguridad blockchain en CertiK, advirtió que la actividad reciente de Lazarus muestra una intensidad poco común incluso para un actor ya conocido por la industria. En declaraciones recogidas por CoinDesk, sostuvo que la industria cripto debe empezar a tratar a Lazarus del mismo modo en que la banca observa a los ciberactores respaldados por Estados nación: como una amenaza constante, bien financiada y persistente.
La investigadora señaló además que lo que vuelve especialmente peligroso a Lazarus en este momento es su nivel de actividad. Citó que KelpDAO, Drift y ahora este nuevo kit de malware para macOS aparecen dentro del mismo mes, lo que, a su juicio, no corresponde a un episodio aislado de hacking, sino a una operación financiera dirigida por un Estado y ejecutada con escala y velocidad institucional.
El trasfondo importa porque Corea del Norte ha convertido el robo de cripto en una fuente relevante de ingresos, de acuerdo con expertos del sector. En ese contexto, Mach-O Man no sería un experimento puntual, sino una nueva pieza dentro de un aparato ofensivo más amplio. El reporte menciona que Lazarus acumula un botín estimado en USD $6.700 millones desde 2017.
Cómo funciona el engaño detrás de Mach-O Man
Mach-O Man fue descrito por Newson como un kit de malware modular para macOS desarrollado por la división Chollima del grupo Lazarus. Utiliza binarios Mach-O nativos, diseñados específicamente para entornos Apple, un detalle importante porque muchas firmas de cripto y fintech operan con equipos Mac en funciones ejecutivas, legales, comerciales y de producto.
La campaña se distribuye mediante un método conocido como ClickFix. Newson subrayó que conviene separar ambos conceptos. ClickFix no es el malware en sí, sino la técnica de ingeniería social utilizada para entregarlo. El éxito del ataque depende de que la propia víctima ejecute una instrucción creyendo que está resolviendo un problema técnico rutinario.
El proceso comienza con una invitación urgente a una reunión enviada por Telegram. El señuelo promete una llamada de Zoom, Microsoft Teams o Google Meet. Sin embargo, el enlace dirige a un sitio falso que imita una interfaz empresarial legítima y que informa sobre un supuesto problema de conexión o compatibilidad.
La página solicita entonces que el usuario copie y pegue un comando simple en la terminal de su Mac para arreglar el inconveniente. Ese paso es el momento crítico del ataque. Al ejecutarlo, la víctima otorga acceso inmediato a sistemas corporativos, plataformas SaaS y recursos financieros, sin activar necesariamente las alarmas convencionales de seguridad.
Desde el punto de vista defensivo, el método resulta delicado porque la acción dañina no parece venir de un archivo adjunto sospechoso ni de una vulnerabilidad explotada de forma tradicional. La instrucción se presenta como una medida de soporte técnico. La página luce auténtica, las indicaciones parecen normales y el usuario inicia por sí mismo el proceso que compromete el sistema.
Mauro Eldritch, experto en seguridad y fundador de la firma de inteligencia de amenazas BCA Ltd., describió ese patrón de invitaciones urgentes y reuniones falsas dirigidas a ejecutivos. La mecánica explota una rutina habitual en empresas globales, donde llamadas improvisadas, demos y coordinaciones con socios o clientes ocurren con frecuencia y rara vez generan sospechas inmediatas.
Por qué el ataque es difícil de detectar
Una de las características más inquietantes de Mach-O Man es su capacidad para desaparecer antes de que la víctima comprenda lo ocurrido. Los investigadores explican que el malware suele borrarse a sí mismo, lo que complica tanto la detección temprana como el análisis forense posterior. Cuando una empresa nota el incidente, el daño principal puede haberse producido ya.
Newson afirmó que muchas víctimas probablemente todavía no saben que fueron comprometidas. Y si lo sospechan, es posible que no logren identificar qué variante específica las afectó. Esa incertidumbre erosiona la capacidad de respuesta, porque sin una huella clara del malware es más difícil reconstruir el alcance del acceso obtenido por los atacantes.
La naturaleza modular del kit también amplía el problema. El reporte indica que, aunque Mach-O Man fue creado por Lazarus, su uso ya se extiende más allá de ese grupo. En otras palabras, la herramienta puede ser adoptada por otros ciberdelincuentes, lo que incrementa el universo de amenazas y multiplica las variaciones observadas en el terreno.
El investigador de amenazas Vladimir S. indicó que existen varias versiones de este ataque. Esa diversidad significa que las defensas basadas en indicadores estáticos pueden perder eficacia con rapidez. Si la técnica social se mantiene y los componentes cambian, los atacantes conservan margen para adaptar la operación sin alterar el guion principal del engaño.
También ya se han visto casos en los que atacantes asociados a Lazarus secuestraron dominios de proyectos DeFi usando este nuevo malware. Tras ello, reemplazaron los sitios web por un falso mensaje de Cloudflare que pedía al usuario introducir un comando para conceder acceso. El patrón repite la misma lógica: presentar un paso técnico aparentemente razonable para inducir a la autoinfección.
Ese detalle es clave para el sector cripto, donde desarrolladores, fundadores, tesorerías y equipos de operaciones interactúan a diario con paneles administrativos, verificaciones y herramientas en la nube. En un entorno así, una falsa página de validación o un arreglo rápido de terminal puede pasar por legítimo si llega en un momento de presión operativa.
Contexto para la industria cripto y fintech
La advertencia llega en un momento sensible para la industria. En las últimas dos semanas, hackers norcoreanos habrían sustraído más de USD $500 millones a partir de los exploits de Drift y KelpDAO, según la información citada en el reporte. Ese volumen refuerza la percepción de una campaña sostenida, más que de incidentes aislados sin conexión estratégica.
Para compañías de criptomonedas y fintech, el caso vuelve a poner sobre la mesa un punto incómodo: el perímetro de seguridad ya no depende solo del código, las llaves o los contratos inteligentes. También depende del comportamiento humano, de la presión del trabajo ejecutivo y de la facilidad con la que una acción rutinaria puede transformarse en una brecha grave.
En la práctica, el mensaje para el sector es doble. Por un lado, los equipos deben extremar protocolos para invitaciones no verificadas, accesos remotos y supuestos pasos de soporte técnico. Por otro, las organizaciones necesitan asumir que los actores vinculados a Estados pueden operar con paciencia, presupuesto y objetivos financieros muy concretos.
El caso Mach-O Man ilustra además una convergencia entre ciberespionaje, crimen financiero y operaciones encubiertas orientadas al ecosistema digital. Cuando una amenaza así apunta a ejecutivos con acceso de alto nivel, el costo potencial no se mide solo en activos robados. También puede incluir interrupciones operativas, pérdida de confianza y exposición de información estratégica.
La advertencia de fondo es que una reunión aparentemente rutinaria ya puede funcionar como vector de compromiso. En un sector donde los tiempos son rápidos y las decisiones se toman bajo presión, esa clase de engaño tiene una probabilidad real de éxito. Por eso, el nuevo malware no solo preocupa por su diseño técnico, sino por la naturalidad con la que se inserta en el día a día corporativo.
En ese sentido, la campaña atribuida a Lazarus muestra que las defensas tradicionales pueden ser insuficientes si el atacante consigue que la víctima haga el trabajo por él. El reto para la industria será reforzar controles, educación interna y verificación de procedimientos antes de que una simple videollamada se convierta en el inicio de una intrusión mayor.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
Kraken reportó 56 millones de formularios fiscales cripto, 74% fue por menos de USD $50
Bancos y Pagos
Banco Societe Generale amplía servicios a firmas cripto mientras apuesta por las stablecoins
Bitcoin
Inversores en Reino Unido ahora tienen una vía para acceder a cripto sin pagar impuestos
Criptomonedas