Grupo Lazarus y su nueva campaña de malware
El Grupo Lazarus de Corea del Norte está utilizando el malware para macOS denominado «Mach-O Man» y falsas invitaciones a reuniones para secuestrar a ejecutivos de criptomonedas y financiar ataques DeFi que ascienden a nueve cifras. Este grupo de hackers, respaldado por el estado norcoreano, ha lanzado una nueva campaña de malware dirigida específicamente a ejecutivos en el sector fintech y de criptomonedas, según la firma de seguridad blockchain CertiK.
Detalles de la operación «Mach-O Man»
La operación, conocida como «Mach-O Man», combina ingeniería social y cargas útiles a nivel de terminal para robar criptomonedas y datos corporativos sensibles, dejando casi ninguna huella en el disco. Los investigadores de CertiK afirman que la campaña se basa en la técnica ClickFix, donde las víctimas son atraídas a pegar lo que parecen ser comandos de «reparación» o «verificación» directamente en la Terminal de macOS durante flujos de soporte o reuniones falsas.
En este caso, las trampas llegan como invitaciones a reuniones en línea fraudulentas que engañan a las víctimas para que inserten comandos de reparación maliciosos en sus terminales de Mac. El kit de herramientas se autodeletea después de su uso para frustrar la investigación forense, según el análisis de CertiK.
Vínculos y distribución del malware
Según la firma de inteligencia de amenazas SOC Prime, el marco «Mach-O Man» está vinculado a la famosa unidad Chollima de Lazarus y se distribuye a través de cuentas de Telegram comprometidas e invitaciones a reuniones falsas que apuntan a organizaciones financieras y de criptomonedas de alto valor.
El kit de herramientas, según CoinDesk, incluye múltiples binarios Mach-O diseñados para perfilar el host, establecer persistencia y exfiltrar credenciales y datos del navegador a través de un comando y control basado en Telegram. Mandiant de Google Cloud describió anteriormente campañas similares de macOS que combinan ClickFix con deepfakes de video asistidos por IA, llamadas falsas de Zoom y cuentas de mensajería secuestradas para empujar a los objetivos a ejecutar comandos ofuscados.
«La campaña utilizó una cuenta de Telegram comprometida, una reunión falsa de Zoom y engaños asistidos por IA para engañar a las víctimas a ejecutar comandos de terminal que conducen a una cadena de infección de macOS»
Impacto financiero y robos
La investigadora de CertiK, Natalie Newson, vinculó la última ola de «Mach-O Man» a un impulso más amplio de Lazarus que ha drenado más de $500 millones de las plataformas DeFi Drift y KelpDAO en poco más de dos semanas. En esos incidentes, Lazarus supuestamente combinó ingeniería social contra una firma de trading con un sofisticado exploit cross-chain que permitió a los atacantes acuñar aproximadamente 116,500 rsETH y drenar alrededor de $292 millones en valor.
LayerZero, que proporciona la infraestructura de puente utilizada por KelpDAO, afirmó que el Grupo Lazarus de Corea del Norte es el «actor probable» detrás del exploit de rsETH y culpó a un diseño de verificador de punto único de falla por permitir el mensaje cross-chain forjado.
Conclusiones sobre el riesgo en el ecosistema de criptomonedas
Lazarus ha estado apuntando al ecosistema de criptomonedas durante años, robando aproximadamente $2 mil millones en activos virtuales en 2023 y 2024, informó el medio de seguridad SecurityWeek, citando campañas anteriores habilitadas por ClickFix. Con DeFi ya sufriendo lo que los medios de investigación han denominado su peor mes registrado por hacks, los mercados ahora están efectivamente valorando otro exploit de más de $100 millones este año, subrayando cómo los atacantes vinculados a estados como Lazarus se han vuelto sistémicos al riesgo de criptomonedas.
