La aparición de Mach-O Man, un nuevo kit de malware nativo para macOS atribuido al grupo norcoreano Lazarus, ha encendido todas las alarmas en el ecosistema de criptomonedas y fintech a nivel global. La amenaza no se limita a grandes exchanges o protocolos DeFi: también afecta de lleno a empresas europeas y españolas que dependen de equipos Mac en sus áreas ejecutivas, de tesorería y desarrollo.
Estamos ante una campaña que convierte una videollamada de trabajo en una posible puerta de entrada a la infraestructura corporativa. En lugar de apoyarse únicamente en fallos técnicos, Mach-O Man combina una ingeniería social muy pulida con módulos especializados en el robo de credenciales, llaveros de macOS y accesos a wallets, lo que multiplica el riesgo para compañías que manejan grandes volúmenes de capital digital.
El grupo Lazarus y sus objetivos en cripto, DeFi y fintech
Detrás de Mach-O Man se sitúa el Grupo Lazarus, también conocido como Famous Chollima, una de las unidades de ciberoperaciones más activas vinculadas a Corea del Norte. Diversos informes de seguridad estiman que este colectivo ha acumulado alrededor de 6.700 millones de dólares en robos de criptomonedas desde 2017, con golpes sonados a plataformas como KelpDAO, Drift, Bybit o Zerion.
Las investigaciones de equipos como CertiK, el Quetzal Team de Bitso y analistas independientes apuntan a que Mach-O Man forma parte de una estrategia financiera sostenida por el Estado norcoreano. No se trataría de una campaña aislada, sino de otra pieza dentro de un engranaje más amplio orientado a drenar capital del sector cripto, DeFi y fintech.
Según explicó la investigadora de CertiK Natalie Newson, la industria cripto debería empezar a ver a Lazarus igual que la banca tradicional observa a los actores estatales: como una amenaza continua, bien financiada y persistente. En apenas unas semanas se habrían desviado más de 500 millones de dólares mediante explotaciones vinculadas a protocolos como Drift y KelpDAO, lo que refuerza la idea de una ofensiva coordinada.
El foco actual de Lazarus son perfiles con acceso muy sensible dentro de organizaciones de alto valor: ejecutivos de fintech, desarrolladores de Web3, responsables de producto y equipos de tesorería que trabajan en exchanges, proyectos DeFi y proveedores de servicios cripto regulados. Muchos de ellos, especialmente en Europa y España, operan con Macs en el día a día.
Para compañías con base en ciudades como Madrid, Barcelona, Valencia, Málaga, Berlín o Ámsterdam, donde se concentran neobancos, custodios institucionales y startups cripto, el mensaje es claro: si se maneja liquidez digital, integraciones DeFi o infraestructuras SaaS críticas desde macOS, se entra de lleno en el perfil de riesgo de Mach-O Man.
Qué es Mach-O Man y cómo está construido
Mach-O Man se describe como un kit de malware modular para macOS, desarrollado por la división Chollima del Grupo Lazarus. Está escrito en Go y compilado como binarios Mach-O nativos, es decir, el formato estándar de ejecutables en macOS, tanto para equipos con procesadores Intel como para Apple Silicon.
La elección de Go y del formato Mach-O permite que los componentes del kit se integren con naturalidad en el entorno Apple, evadiendo algunas barreras habituales que bloquean ejecutables menos adaptados. Esto es relevante porque un gran número de empresas cripto y fintech utiliza Macs en posiciones clave de gestión, legales, comerciales y técnicas.
El kit funciona en múltiples etapas encadenadas, cada una con una función concreta: descarga de binarios maliciosos, recopilación de información del sistema, establecimiento de persistencia y, finalmente, robo masivo de datos. Su diseño modular facilita que los atacantes ajusten la campaña según el tipo de víctima y el objetivo económico de cada operación.
Una de las capacidades más delicadas de Mach-O Man es su interacción con el llavero de macOS (Keychain), donde el sistema almacena contraseñas, claves privadas, frases de recuperación y otros secretos sensibles. Además, los módulos del kit analizan extensiones y datos de navegadores como Chrome, Safari, Firefox, Brave, Opera o Vivaldi, lo que abre la puerta al robo de cookies de sesión, tokens de acceso y credenciales guardadas.
Los investigadores han observado incluso errores de programación en algunos componentes, como un bug que provoca un bucle infinito y un consumo anómalo de CPU. Este tipo de fallo, aunque puede delatar la presencia del malware, sugiere que el kit se ha desplegado con cierta prisa, quizás para aprovechar ventanas concretas de ataque antes de que los defensores ajusten sus controles.
ClickFix: la trampa de las videollamadas que compromete el Mac
El punto más inquietante de Mach-O Man no es únicamente su código, sino cómo consigue entrar en los equipos. En lugar de aprovechar un fallo técnico clásico, la campaña se apoya en una técnica de ingeniería social denominada ClickFix, que busca que sea el propio usuario quien ejecute el comando malicioso pensando que realiza un paso rutinario de soporte.
El esquema suele arrancar con una invitación urgente a una reunión enviada por Telegram. El mensaje promete una videollamada por Zoom, Microsoft Teams o Google Meet y, en muchos casos, parece totalmente legítimo porque llega desde cuentas comprometidas de contactos reales: colegas del sector, socios comerciales, proveedores o incluso personal técnico de confianza.
Al hacer clic, la víctima es redirigida a un sitio web falso pero muy convincente, que imita la estética de la plataforma de videollamadas o de servicios como Cloudflare. Allí aparece un supuesto error de conexión o compatibilidad, junto con una solución aparentemente inocua: copiar y pegar un comando sencillo en la Terminal de macOS para “arreglar el problema”.
Ese comando es el corazón del engaño. Al ejecutarlo, se descarga y lanza el stager inicial del malware, a menudo un binario como teamsSDK.bin mediante curl. Como es el propio usuario quien dispara la orden desde la Terminal, mecanismos como Gatekeeper tienden a considerar esa ejecución como una acción autorizada, de modo que muchas defensas automáticas no saltan.
En algunos incidentes ya documentados, atacantes vinculados a Lazarus han llegado incluso a secuestrar dominios de proyectos DeFi y sustituir sus webs por un mensaje falso de Cloudflare que invita a introducir un comando de verificación. El patrón es idéntico: disfrazar un paso crítico de seguridad como una simple comprobación técnica.
Las cuatro fases del ataque: de la infección al vaciado de credenciales
Una vez que la víctima ha caído en la trampa de ClickFix y ha ejecutado el comando, Mach-O Man despliega un flujo de ataque en cuatro grandes etapas, descritas en detalle por el Quetzal Team de Bitso y otros analistas.
En la primera, el stager descarga y ejecuta binarios adicionales escritos en Go, firmados con certificados creados ad hoc para aparentar legitimidad. En este punto puede mostrarse un paquete de aplicación falso que solicita la contraseña de macOS; los investigadores han detectado incluso que la ventana de inicio de sesión “tiembla” en los dos primeros intentos y acepta la clave en el tercero, un truco de interfaz para reforzar la sensación de normalidad.
La segunda fase se centra en el perfilado del sistema. Un módulo se encarga de recopilar el máximo de información posible sobre la máquina: nombre de host, UUID, tipo de CPU, versión de macOS, procesos en ejecución, configuración de red y extensiones instaladas en los principales navegadores. Con estos datos, los atacantes valoran la importancia del objetivo y adaptan el resto de la operación.
En la tercera etapa, el malware establece un mecanismo de persistencia. Para ello instala un componente disfrazado de aplicación llamada OneDrive dentro de una ruta oculta, normalmente en una carpeta con nombres como “Antivirus Service”, y registra un LaunchAgent bajo identificadores como com.onedrive.launcher.plist. Así se asegura de ejecutarse automáticamente cada vez que el usuario inicia sesión.
La cuarta y última fase activa un stealer especializado en robar datos sensibles, identificado en algunos análisis como macrasv2. Este módulo recolecta bases de datos SQLite con credenciales del navegador, cookies de sesión, información de extensiones de wallets, entradas del llavero de macOS y todo aquello que pueda facilitar un acceso directo a fondos y sistemas internos. El contenido se comprime y se envía al exterior mediante la API de bots de Telegram.
El vínculo con el robo de criptomonedas es inmediato: el llavero de macOS puede contener claves privadas, frases semilla y contraseñas de plataformas de intercambio. Sumadas a las cookies de sesión activas y a los tokens de acceso, estas credenciales permiten a los atacantes operar sobre los fondos de la víctima sin romper protocolos adicionales ni levantar sospechas inmediatas.
Telegram como canal de exfiltración y la autodestrucción del malware
Una característica especialmente llamativa de Mach-O Man es el uso intensivo de Telegram como canal de mando y exfiltración. El stealer envía los datos robados mediante peticiones a la API de bots de la plataforma, camuflando parte de su tráfico en un servicio que muchas organizaciones usan de forma legítima.
Los investigadores han llegado a identificar tokens de bots de Telegram incrustados en los binarios, un descuido operativo que podría aprovecharse para monitorizar canales maliciosos o incluso interrumpir parte de la infraestructura de mando y control. Aun así, mientras estos bots se mantengan activos, el envío de información hacia los operadores de Lazarus permanece relativamente discreto.
Mach-O Man también incorpora funciones de autodestrucción. Tras completar sus tareas principales, muchos de sus componentes ejecutan órdenes de borrado utilizando comandos como rm, eliminando rastros locales de la infección. De este modo, cuando la empresa afectada detecta comportamientos extraños o el robo de fondos, el malware puede haber desaparecido ya del equipo.
Este enfoque de “golpe rápido y limpio” complica notablemente el análisis forense posterior. Sin artefactos claros en el sistema, los equipos de seguridad tienen que apoyarse en logs de red, señales residuales y correlación de eventos para reconstruir el incidente. En entornos europeos donde se gestionan flotas de Macs en neobancos, proveedores de pagos o gestoras de activos tokenizados, esta ausencia de huella dificulta medir el alcance real del acceso obtenido por los atacantes.
De hecho, expertos como Natalie Newson subrayan que muchas víctimas aún no son conscientes de que han sido comprometidas. Y, aunque lo sospechen, no siempre podrán identificar qué variante concreta de Mach-O Man actuó ni qué volumen de información se vio comprometido, lo que añade incertidumbre a la fase de respuesta y comunicación interna.
Relación con grandes robos y contexto para Europa y España
Mach-O Man no aparece de la nada: se suma a una larga serie de ataques atribuidos a Lazarus contra el ecosistema cripto y fintech en todo el mundo. Entre ellos destacan robos masivos a protocolos DeFi, exchanges centralizados y proveedores de wallets, con cifras que, en algunos casos, superan los mil millones de dólares.
Casos como el hackeo de KelpDAO, el exploit a Drift o el ataque a Bybit por alrededor de 1.400 millones de dólares muestran la capacidad de Lazarus para combinar conocimiento profundo de infraestructuras con operaciones extremadamente rápidas y precisas. A otro nivel, incidentes “más pequeños” como el robo de unos 100.000 dólares a Zerion mediante ingeniería social apoyada en IA evidencian que el grupo se mueve con soltura tanto en golpes de alto perfil como en campañas continuas, más discretas pero repetidas.
En este contexto, Mach-O Man se encuadra en un modelo de ataque centrado en las personas. En lugar de ir directamente contra el código de un smart contract, la campaña apunta a los responsables que manejan tesorerías, claves de administración y accesos internos. El objetivo final es el mismo: hacerse con los fondos, pero atacando el eslabón humano.
Para Europa, donde se ha ampliado de forma notable la oferta de servicios cripto regulados y fintech de nueva generación, esto supone un cambio de escenario. Bancos con divisiones de banca digital, gestores de activos que exploran la tokenización y empresas de pagos con servicios cripto pasan a formar parte de un mapa de riesgo compartido con exchanges puramente Web3.
En España, hubs tecnológicos como Madrid, Barcelona, Valencia o Málaga concentran startups cripto, plataformas de inversión alternativa y proyectos DeFi con exposición relevante a activos digitales. Muchos de estos actores utilizan macOS de forma intensiva en puestos de dirección, compliance, desarrollo de negocio y operaciones, lo que los coloca en el radar natural de campañas como Mach-O Man.
Por qué es tan difícil de detectar: el factor humano como punto débil
Una de las claves del éxito de Mach-O Man es que no explota una vulnerabilidad técnica clásica, sino una debilidad humana. El ataque depende de que la propia víctima pegue un comando en la Terminal de su Mac creyendo que está resolviendo un problema de conexión o validando una videollamada urgente.
Los controles de seguridad tradicionales están mejor preparados para identificar archivos adjuntos sospechosos, ejecutables no autorizados o exploits automatizados que para detener una orden legítima lanzada por el usuario. Si el comando llega envuelto en un contexto creíble —una reunión de última hora con un socio clave, un supuesto aviso de Cloudflare, un mensaje que simula proceder de un proveedor conocido—, la probabilidad de que alguien lo ejecute aumenta de forma notable.
La campaña saca partido de una realidad muy extendida en empresas de tecnología y finanzas: agendas apretadas, videollamadas constantes y decisiones bajo presión. En ese entorno, una reunión improvisada o un paso técnico “de rutina” no suele levantar demasiadas suspicacias, especialmente si llega desde un canal como Telegram donde muchas comunidades cripto operan a diario.
Además, la naturaleza modular de Mach-O Man complica la tarea de generar firmas estáticas fiables. Analistas como Vladimir S han detectado múltiples variantes del ataque, lo que significa que los componentes pueden cambiar con rapidez aunque el guion social se mantenga. Si las defensas se basan únicamente en indicadores clásicos, los atacantes conservan margen para adaptar la campaña.
A todo ello se suma la capacidad del malware para borrarse tras completar su misión. Cuando se detecta un vaciado de fondos o una actividad inusual en cuentas corporativas, el rastro en el Mac comprometido puede ser mínimo, lo que hace más difícil atribuir el incidente de forma rápida y precisa a Mach-O Man.
Medidas prácticas para empresas cripto y fintech que usan macOS
Los equipos de ciberseguridad que han analizado Mach-O Man han planteado una serie de recomendaciones concretas para organizaciones europeas y españolas que utilizan Macs en puestos de alta responsabilidad y exposición a activos digitales.
En el plano técnico, se sugiere realizar auditorías periódicas de los directorios de LaunchAgents en busca de entradas sospechosas, con especial atención a referencias como com.onedrive.launcher.plist o procesos OneDrive que se ejecuten desde rutas inusuales, por ejemplo, carpetas ocultas bajo nombres tipo “Antivirus Service”. Esta revisión puede automatizarse mediante scripts o integrarse en plataformas de gestión de flota.
También se recomienda monitorizar o limitar el tráfico hacia la API de Telegram Bot desde equipos corporativos, especialmente en entornos donde no haya un uso justificado de bots de Telegram. Aunque no siempre será viable bloquear Telegram por completo, sí se pueden establecer controles más finos sobre este tipo de comunicaciones, reduciendo así la superficie de exfiltración de datos.
En el ámbito de la concienciación interna, los expertos insisten en un mensaje sencillo pero crucial: no se debe pegar nunca en la Terminal un comando procedente de una página web o de un enlace de reunión no verificado. Esta idea, que puede parecer de sentido común, requiere formación continua, ejemplos prácticos y simulacros, sobre todo en equipos que viven con prisa y reciben constantes invitaciones a videollamadas.
Otro consejo básico es verificar por un canal alternativo cualquier invitación urgente que incluya pasos técnicos inusuales. Si un supuesto colega pide ejecutar un comando en la Terminal, conviene confirmarlo por correo corporativo, mensajería interna oficial o llamada telefónica antes de actuar. Este doble check, aunque resulte algo engorroso, reduce de forma drástica las probabilidades de caer en campañas como ClickFix.
Por último, es recomendable que las organizaciones con sede en España y el resto de la Unión Europea integren indicadores de compromiso asociados a Mach-O Man en sus herramientas de detección y respuesta: hashes de los binarios identificados, direcciones IP relacionadas, patrones de comandos sospechosos en la Terminal y alertas por picos anómalos de CPU en procesos desconocidos. Incluso si el malware intenta autodestruirse, estos rastros pueden ayudar a detectar intentos de intrusión o infecciones en curso.
La campaña Mach-O Man ilustra hasta qué punto la combinación de malware modular, ingeniería social y canales de exfiltración encubiertos puede convertir una videollamada aparentemente inocente en el detonante de una brecha crítica. En un entorno europeo cada vez más regulado y con mayor exposición al capital digital, especialmente en empresas españolas que se apoyan en macOS en sus puestos de decisión, reforzar la cultura de seguridad, desconfiar de los comandos improvisados y validar las urgencias por más de un canal se está convirtiendo en una necesidad básica para proteger credenciales, sistemas y billeteras digitales.
