La aparición de Mach-O Man, un nuevo kit de malware nativo para macOS atribuido al grupo norcoreano Lazarus, ha encendido las alarmas en el ecosistema de criptomonedas y fintech a nivel global. La amenaza no se limita a grandes exchanges: afecta también a empresas europeas y españolas que dependen de equipos Mac en puestos ejecutivos, de tesorería y desarrollo.
Esta campaña convierte una videollamada de trabajo en una posible puerta de entrada a la infraestructura corporativa. En lugar de apoyarse únicamente en fallos técnicos, Mach-O Man combina una ingeniería social muy cuidada con módulos especializados en el robo de credenciales, acceso al llavero de macOS y a wallets, lo que multiplica el riesgo para organizaciones que manejan grandes volúmenes de capital digital.
El Grupo Lazarus y sus objetivos en cripto, DeFi y fintech
Detrás de Mach-O Man se sitúa el Grupo Lazarus, también conocido como Famous Chollima, una de las unidades de ciberoperaciones más activas vinculadas a Corea del Norte. Diversos informes de seguridad calculan que este colectivo ha acumulado alrededor de 6.700 millones de dólares en robos de criptomonedas desde 2017, con golpes destacados contra plataformas como KelpDAO, Drift, Bybit o Zerion.
Investigadores de equipos como CertiK y el Quetzal Team de Bitso, junto a otras firmas de inteligencia de amenazas y laboratorios de análisis como ANY.RUN, encuadran Mach-O Man dentro de una estrategia financiera sostenida por el Estado norcoreano. No estaríamos ante una campaña aislada, sino ante otra pieza en un engranaje más amplio cuyo objetivo es drenar capital del sector cripto, DeFi y fintech.
Según la investigadora senior de CertiK, Natalie Newson, la industria de las criptomonedas debería empezar a tratar a Lazarus igual que la banca tradicional trata a los ciberactores respaldados por Estados: como una amenaza constante, bien financiada y persistente. En apenas unas semanas, los atacantes norcoreanos habrían desviado más de 500 millones de dólares en explotaciones vinculadas a protocolos como Drift y KelpDAO, lo que refuerza la idea de una ofensiva coordinada.
El foco actual del grupo se sitúa en perfiles con acceso muy sensible dentro de empresas de alto valor: ejecutivos de fintech, desarrolladores de Web3, responsables de producto y equipos de tesorería en exchanges y proveedores de servicios cripto regulados. Muchos de estos perfiles, especialmente en Europa y España, trabajan con macOS en su día a día, lo que encaja de lleno con el diseño específico de Mach-O Man.
Para compañías radicadas en hubs como Madrid, Barcelona, Valencia, Málaga, Berlín o Ámsterdam, donde se concentran neobancos, custodios institucionales y startups cripto, el mensaje es claro: si se gestionan flujos de liquidez digital, integraciones DeFi o infraestructuras SaaS críticas desde Macs, se entra de pleno en el perfil de riesgo perseguido por esta campaña.
Qué es Mach-O Man y cómo está construido
Mach-O Man se describe como un kit de malware modular para macOS, escrito en Go y compilado como binarios Mach-O, el formato nativo de ejecutables en el sistema de Apple. Está optimizado para funcionar tanto en máquinas con procesadores Intel como en equipos con Apple Silicon, lo que le permite cubrir prácticamente todo el parque actual de ordenadores Mac.
La elección de Go y del formato Mach-O facilita que los diferentes componentes del kit se integren con naturalidad en el entorno Apple, evitando algunas de las barreras habituales que frenan ejecutables menos adaptados. Este enfoque resulta especialmente efectivo en empresas cripto y fintech, donde es habitual que directivos, abogados, responsables de producto y perfiles técnicos trabajen desde macOS.
El kit se ejecuta en cuatro grandes fases encadenadas, cada una dedicada a un objetivo concreto: descarga inicial y despliegue de binarios, recopilación de información del sistema, establecimiento de persistencia y, finalmente, robo masivo de datos. Su arquitectura modular hace posible que distintos grupos maliciosos puedan adaptar la campaña según el tipo de víctima y el beneficio esperado.
Uno de los puntos más delicados es su capacidad para interactuar con el llavero de macOS (Keychain), donde el sistema almacena contraseñas, claves privadas, frases de recuperación y otros secretos sensibles. Además, los módulos de Mach-O Man analizan extensiones y datos de navegadores como Chrome, Safari, Firefox, Brave, Opera o Vivaldi, lo que facilita el robo de cookies de sesión, tokens de acceso y credenciales guardadas.
Los investigadores han detectado incluso errores de programación en algunos componentes, como un bug en un binario de perfilado que genera un bucle infinito y un consumo anómalo de CPU. Este fallo, además de servir como posible indicador de una infección en curso, sugiere que el kit se ha desplegado con cierta prisa para aprovechar ventanas concretas de ataque antes de que las defensas se adapten.
ClickFix: la trampa de las videollamadas que compromete el Mac
Lo que hace especialmente inquietante a Mach-O Man no es solo su código, sino cómo consigue entrar en los equipos. En lugar de explotar una vulnerabilidad de software clásica, la campaña se apoya en una técnica de ingeniería social conocida como ClickFix, diseñada para que sea la propia víctima quien ejecute el comando malicioso convencida de que está siguiendo un procedimiento rutinario de soporte.
El ataque suele arrancar con una invitación urgente a una reunión enviada a través de Telegram. El mensaje promete una videollamada por Zoom, Microsoft Teams o Google Meet y, en muchos casos, parece de lo más normal porque llega desde cuentas comprometidas de colegas, socios comerciales, inversores o personal técnico con el que la víctima ya tiene relación previa en el entorno cripto.
Al abrir el enlace, la persona es redirigida a un sitio web falso pero muy convincente, que imita la estética de la plataforma de videollamadas o muestra un supuesto aviso de servicios conocidos, como Cloudflare. En esa página aparece un error de conexión o compatibilidad y se propone una solución casi de andar por casa: copiar y pegar un comando sencillo en la Terminal de macOS para resolver el problema.
Ese comando, que se presenta como un simple paso de verificación o arreglo técnico, descarga y ejecuta el stager inicial del malware, normalmente un binario como teamsSDK.bin a través de curl. Al ser el propio usuario quien lanza la orden en la Terminal, mecanismos de seguridad como Gatekeeper tienden a considerar esa acción como autorizada, de modo que muchas defensas automáticas no se activan.
En incidentes ya documentados, investigadores han observado que los atacantes han llegado incluso a secuestrar dominios de proyectos DeFi para reemplazar sus webs por mensajes falsos de Cloudflare. Esas páginas piden introducir un comando de verificación en la Terminal, repitiendo el mismo patrón: disfrazar un punto crítico de seguridad como si fuera un simple paso técnico, aprovechando la confianza que generan interfaces familiares.
Las cuatro fases del ataque: de la infección al vaciado de credenciales
Una vez que la víctima ha caído en la trampa de ClickFix y ha ejecutado el comando, Mach-O Man despliega un flujo de ataque organizado en cuatro etapas, descritas con detalle por el equipo Quetzal de Bitso y corroboradas por otros investigadores especializados.
En la primera fase, el stager inicial descarga y ejecuta binarios adicionales escritos en Go, firmados con un certificado de código creado ad hoc para aparentar legitimidad. En este punto se presenta un paquete de aplicación falso que solicita la contraseña de macOS; los analistas han observado que la ventana de inicio de sesión llega a “temblar” en los dos primeros intentos y acepta la clave en el tercero, un truco de interfaz pensado para reforzar la sensación de normalidad.
La segunda etapa se centra en perfilado exhaustivo del sistema. Un binario dedicado enumera nombre de host, UUID, tipo de CPU, versión de macOS, procesos activos, configuración de red y extensiones instaladas en navegadores como Brave, Chrome, Firefox, Safari, Opera y Vivaldi. Con este inventario, los atacantes valoran la importancia del objetivo y deciden cuánto esfuerzo merece cada máquina comprometida.
En la tercera fase, Mach-O Man establece un mecanismo de persistencia para mantenerse en el sistema aunque el equipo se reinicie. Para ello coloca un archivo renombrado como Onedrive en una ruta oculta, dentro de una carpeta con nombres como “Antivirus Service”, y registra un LaunchAgent bajo identificadores del estilo com.onedrive.launcher.plist. De esta forma, el componente malicioso se ejecuta automáticamente cada vez que el usuario inicia sesión.
Finalmente, la cuarta etapa activa un stealer especializado en el robo de datos, identificado en algunos análisis como macrasv2. Este módulo recopila información procedente de extensiones del navegador, bases de datos SQLite con credenciales, cookies de sesión, configuraciones de wallets y entradas del llavero de macOS. Todo ese contenido se empaqueta en un archivo comprimido y se envía al exterior mediante la API de bots de Telegram, sin necesidad de montar una infraestructura de mando y control especialmente sofisticada.
El vínculo con el robo de criptomonedas y otros activos digitales es directo: el llavero de macOS puede albergar claves privadas, frases semilla, contraseñas de plataformas de intercambio y credenciales para acceder a tesorerías corporativas. Sumadas a las cookies de sesión activas y a los tokens de acceso, estas llaves permiten a los atacantes operar sobre fondos ajenos sin levantar sospechas inmediatas ni pasar por procesos adicionales de autenticación.
Telegram como canal de exfiltración y la autodestrucción del malware
Una de las particularidades más llamativas de Mach-O Man es el uso intensivo de Telegram como canal de mando y exfiltración. En lugar de recurrir a servidores dedicados difíciles de camuflar, el stealer envía los datos robados mediante peticiones a la API de bots de Telegram, aprovechando un servicio ampliamente utilizado tanto a nivel personal como profesional.
Los investigadores han llegado a encontrar tokens de bots de Telegram incrustados directamente en los binarios, un desliz operativo importante que, al menos sobre el papel, podría permitir a los equipos defensivos monitorizar o interferir parte de los canales de comunicación maliciosos. Aun así, mientras estos bots sigan activos, el flujo de datos hacia los operadores de Lazarus y otros grupos que usen el kit sigue siendo relativamente discreto.
Otro rasgo que complica la respuesta es la capacidad de autodestrucción del propio malware. Una vez completadas sus tareas principales, muchos de los componentes de Mach-O Man ejecutan órdenes de borrado utilizando comandos como rm, lo que elimina buena parte de las huellas locales de la infección. Cuando la empresa afectada detecta movimientos extraños en cuentas o vaciados de fondos, el malware puede haberse retirado ya del equipo.
Este enfoque de “golpe rápido y sin dejar rastro” complica de forma notable el análisis forense posterior. Sin artefactos claros en el sistema, los equipos de ciberseguridad tienen que apoyarse en registros de red, indicios residuales y correlaciones de eventos para reconstruir qué ha ocurrido. En entornos europeos donde se gestionan flotas de Macs en neobancos, proveedores de pagos o gestoras de activos tokenizados, esa falta de evidencias directas dificulta medir el alcance real del acceso obtenido por los atacantes.
Expertos como Natalie Newson advierten de que muchas víctimas posiblemente aún no sean conscientes de que han sido atacadas. Y, aunque lleguen a sospecharlo, es probable que no logren identificar con precisión qué variante de Mach-O Man se ha desplegado ni qué volumen de datos ha quedado comprometido, añadiendo incertidumbre a las tareas de contención, comunicación interna y notificación regulatoria.
Relación con grandes robos y contexto para Europa y España
Mach-O Man se integra en una cadena de ataques prolongada contra el ecosistema cripto y fintech atribuida al Grupo Lazarus. Más allá de los robos masivos a protocolos DeFi y exchanges —con casos que superan ampliamente los mil millones de dólares en una sola operación—, este kit introduce un enfoque centrado en las personas que manejan los accesos clave.
Los incidentes vinculados a proyectos como KelpDAO, Drift, Bybit o Zerion evidencian la capacidad del grupo para combinar inteligencia sobre infraestructuras con operaciones muy rápidas y precisas. A un nivel aparentemente menor, ataques de ingeniería social apoyados en IA que derivan en robos de seis cifras, como el caso de Zerion, muestran que Lazarus se mueve con soltura tanto en golpes de alto perfil como en campañas discretas pero continuas.
Para el entorno europeo, donde se han multiplicado las empresas cripto reguladas, custodios institucionales y startups fintech, el riesgo se traslada directamente a los equipos de dirección, cumplimiento normativo, tesorería y desarrollo de negocio. En España, proyectos con sede en polos tecnológicos como Madrid, Barcelona, Valencia o Málaga, que gestionan integraciones DeFi y grandes volúmenes de criptoactivos, encajan de lleno en el objetivo de este tipo de operaciones.
Los análisis coinciden en que cualquier organización con macOS desplegado en puestos de alto privilegio y con exposición relevante a activos digitales debería contemplar Mach-O Man en sus escenarios de amenaza. Esto incluye no solo exchanges o protocolos nativos Web3, sino también bancos tradicionales con unidades de banca digital, gestoras de fondos que experimentan con la tokenización y empresas de pagos que han incorporado servicios cripto a su catálogo.
Este contexto obliga a replantear un enfoque de seguridad centrado exclusivamente en el perímetro técnico. La frontera crítica ya no está solo en el código de un smart contract o en el servidor de un proveedor, sino en la rutina diaria del directivo que acepta una videollamada urgente desde su Mac. En un entorno donde los tiempos son ajustados y las agendas están llenas de reuniones remotas, ese vector puede ser tan eficaz como cualquier vulnerabilidad de software clásica.
Por qué es tan difícil de detectar: el factor humano como punto débil
Uno de los motivos del éxito de Mach-O Man es que no se apoya en un fallo técnico “puro”, sino en una debilidad humana muy concreta. El ataque depende de que la propia víctima copie y pegue un comando en la Terminal de su Mac, creyendo que está solventando un problema de conexión, una verificación de seguridad o una incidencia menor de la videollamada.
Los controles de seguridad tradicionales están mejor preparados para detectar archivos adjuntos sospechosos, ejecutables no autorizados o exploits automatizados que para bloquear una orden legítima, escrita en texto plano y lanzada por el propio usuario. Si el comando llega envuelto en un contexto verosímil —una reunión de última hora con un socio clave, un supuesto aviso de Cloudflare o un mensaje que aparenta proceder de un proveedor real—, la probabilidad de que se ejecute sin demasiadas dudas aumenta de forma considerable.
La campaña aprovecha una realidad muy extendida en empresas tecnológicas y financieras: agendas saturadas, videollamadas constantes y decisiones bajo presión. En ese entorno, una reunión improvisada o un “paso técnico rápido” no suele generar sospechas, especialmente si llega desde canales como Telegram donde gran parte de la comunidad cripto opera a diario para coordinar proyectos, inversiones o soporte.
A todo ello se suma la naturaleza modular y evolutiva del kit. Analistas de amenazas como Vladimir S han señalado que ya existen varias variantes del ataque, lo que significa que los componentes técnicos pueden cambiar con rapidez aunque el guion social se mantenga. Si las defensas se centran únicamente en indicadores estáticos, los atacantes conservan margen para modificar los binarios, cambiar infraestructuras de red y seguir explotando la misma técnica.
Por último, la capacidad de Mach-O Man para borrarse a sí mismo tras cumplir su misión reduce la cantidad de evidencias disponibles cuando se descubre un vaciado de fondos o una actividad anómala en cuentas corporativas. El rastro en el equipo comprometido puede ser mínimo, por lo que atribuir con rapidez el incidente a este malware y determinar el alcance real del compromiso se convierte en una tarea mucho más compleja.
Medidas prácticas para empresas cripto y fintech que usan macOS
Los equipos de ciberseguridad que han analizado Mach-O Man han publicado una serie de recomendaciones concretas para organizaciones europeas y españolas que utilizan Macs en puestos con acceso a fondos, paneles de administración y sistemas internos críticos.
En el plano técnico, se aconseja realizar auditorías periódicas de los directorios de LaunchAgents en busca de entradas sospechosas, prestando especial atención a referencias como com.onedrive.launcher.plist o a procesos llamados OneDrive que se ejecuten desde rutas poco habituales, por ejemplo, carpetas ocultas bajo nombres del tipo “Antivirus Service”. Estas comprobaciones pueden automatizarse con scripts y centralizarse en plataformas de gestión de flota, y es crucial aplicar actualizaciones de macOS para cerrar vectores conocidos.
También resulta clave monitorizar o restringir el tráfico saliente hacia la API de Telegram Bot desde equipos corporativos, sobre todo en entornos donde no exista un uso legítimo y documentado de bots de Telegram. Aunque no siempre sea viable bloquear el servicio por completo, sí pueden establecerse políticas más finas que reduzcan su empleo como canal de exfiltración de datos.
En materia de concienciación, los expertos insisten en un mensaje sencillo: no se deben pegar comandos de Terminal procedentes de páginas web, capturas de pantalla o enlaces de reuniones que no hayan sido verificados por la propia organización. Una recomendación que parece de sentido común, pero que en la práctica exige formación continua, ejemplos reales y simulacros, especialmente en equipos que viven con prisas y manejan grandes volúmenes de videollamadas y comunicaciones externas.
Otra buena práctica es verificar por un canal alternativo cualquier invitación urgente que incluya pasos técnicos fuera de lo normal. Si un supuesto colega pide ejecutar un comando en la Terminal, conviene confirmar esa instrucción mediante correo corporativo, mensajería interna oficial o llamada telefónica antes de actuar. Este “doble check”, aunque pueda resultar algo incómodo, reduce drásticamente las probabilidades de caer en campañas como ClickFix.
Por último, las organizaciones con presencia en España y el resto de la Unión Europea deberían integrar los indicadores de compromiso conocidos de Mach-O Man en sus herramientas de detección y respuesta: hashes SHA-256 de los principales componentes publicados por los investigadores, direcciones IP asociadas a la campaña (como las observadas en los primeros análisis), patrones de comandos sospechosos en la Terminal y alertas por picos de CPU anómalos en procesos desconocidos. Incluso si el malware intenta autodestruirse, estos rastros pueden ayudar a identificar infecciones en curso o intentos de intrusión fallidos.
La ofensiva Mach-O Man atribuida al Grupo Lazarus muestra hasta qué punto la combinación de malware modular, ingeniería social y canales de exfiltración encubiertos puede convertir una videollamada aparentemente inocua en el detonante de una brecha crítica. En un ecosistema cripto y fintech europeo cada vez más regulado y con creciente exposición al capital digital, especialmente en empresas españolas que se apoyan en macOS en sus puestos de decisión, reforzar la cultura de seguridad, desconfiar de los comandos improvisados y tratar cualquier enlace de reunión sospechoso como un posible vector de ataque se está convirtiendo en una condición básica para proteger credenciales, sistemas y billeteras digitales.
