La irrupción de Mach-O Man en el ecosistema macOS ha encendido todas las alarmas en el sector de las criptomonedas y la tecnología financiera, especialmente entre empresas europeas y españolas que confían en equipos Apple en sus puestos clave. Este nuevo kit de malware, diseñado para operar de forma nativa en macOS, aprovecha la presión del día a día —reuniones, videollamadas urgentes y coordinación por Telegram— para colarse en los ordenadores con apariencia de trámite rutinario.
Aunque los primeros análisis se centraron en víctimas de Estados Unidos y América Latina, los investigadores advierten de que el perfil de riesgo se extiende de lleno a Europa y España, donde neobancos, custodios institucionales, gestoras de activos tokenizados y startups cripto usan Macs en sus áreas de tesorería, desarrollo y dirección. El resultado es un escenario en el que una simple invitación a Zoom puede transformarse en la puerta de entrada a fondos corporativos y credenciales de alto valor.
El papel del Grupo Lazarus y su interés en cripto, DeFi y fintech
Detrás de Mach-O Man se sitúa el Grupo Lazarus, también conocido como Famous Chollima, una de las unidades de ciberoperaciones más activas vinculadas a Corea del Norte. Diversos informes de compañías de inteligencia de amenazas y firmas de ciberseguridad estiman que este colectivo ha acumulado en torno a 6.700 millones de dólares en robos de criptomonedas desde 2017, mediante ataques a protocolos DeFi, exchanges centralizados y proyectos Web3 de gran tamaño.
Investigadoras como Natalie Newson, de CertiK, y el equipo Quetzal de Bitso coinciden en que Mach-O Man forma parte de una estrategia financiera sostenida por el Estado norcoreano, más cercana a una operación de “finanzas paralelas” que a una serie de hackeos oportunistas. En apenas semanas, robos vinculados a campañas atribuidas a Lazarus —como los sufridos por KelpDAO, Drift o Bybit— habrían desviado cientos de millones de dólares, lo que subraya el carácter sistemático de esta ofensiva.
La campaña actual se enfoca en perfiles de alto privilegio dentro de empresas cripto y fintech: ejecutivos, desarrolladores de Web3, responsables de producto y miembros de equipos de tesorería con acceso directo a wallets corporativas, infraestructuras SaaS y paneles internos. Muchos de ellos trabajan sobre macOS, lo que convierte a este sistema en un objetivo prioritario dentro de la arquitectura de ataque del grupo.
En el contexto europeo, el mapa de riesgo incluye a compañías con sede en ciudades como Madrid, Barcelona, Valencia, Málaga, Lisboa, Berlín o Ámsterdam, donde se concentran proyectos DeFi, exchanges con licencia, proveedores de custodia y fintech reguladas. Todas ellas comparten un mismo denominador: dependencia de equipos Apple en puestos críticos y exposición a grandes volúmenes de capital digital.
Qué es Mach-O Man y cómo está construido el kit de malware
Mach-O Man se describe como un kit de malware modular específico para macOS, escrito en Go y compilado como binarios Mach-O, el formato estándar de ejecutables en este sistema tanto para arquitecturas Intel como para Apple Silicon. Esta elección técnica le permite integrarse con naturalidad en el entorno Apple y sortear algunas de las barreras que frenan ejecutables menos adaptados.
El kit funciona en múltiples etapas encadenadas, cada una con un cometido concreto: descarga inicial de binarios maliciosos, recopilación detallada de información sobre la máquina, establecimiento de mecanismos de persistencia y, finalmente, robo masivo de datos y credenciales. Su diseño modular facilita que los atacantes ajusten la campaña según el tipo de víctima, el valor económico estimado y el objetivo de cada operación.
Uno de los puntos más delicados es la capacidad de interactuar con el llavero de macOS (Keychain), donde se almacenan contraseñas, claves privadas, frases de recuperación y otros secretos críticos. Paralelamente, Mach-O Man analiza extensiones y datos de navegadores como Chrome, Safari, Firefox, Brave, Opera y Vivaldi, lo que abre la puerta al robo de cookies de sesión, tokens de acceso y credenciales guardadas para plataformas de intercambio, paneles de administración o servicios financieros.
Los investigadores han detectado incluso errores de programación en los binarios de perfilado, como un bug que genera un bucle infinito y picos anómalos de consumo de CPU. Aunque este fallo puede delatar una infección activa a través de comportamientos extraños en el rendimiento del Mac, también sugiere que el kit se ha desplegado con cierta prisa para aprovechar ventanas concretas de ataque antes de que las defensas se adapten.
ClickFix: el engaño de las videollamadas y el comando en Terminal
El rasgo más inquietante de Mach-O Man no es solo su código, sino cómo consigue entrar en los equipos. En lugar de apoyarse en una vulnerabilidad técnica clásica, la campaña utiliza una técnica de ingeniería social denominada ClickFix, que se basa en convencer al propio usuario de que ejecute un comando en la Terminal de macOS creyendo que está solucionando un fallo de conexión.
El ataque suele arrancar con una invitación urgente enviada por Telegram para una videollamada a través de Zoom, Microsoft Teams o Google Meet. El mensaje, en muchos casos, llega desde cuentas comprometidas de colegas del sector, socios comerciales, inversores cripto o personal técnico de confianza, lo que aumenta la credibilidad. En entornos donde las videollamadas de última hora son la norma, este tipo de solicitud rara vez levanta sospechas de entrada.
Al hacer clic en el enlace, la víctima aterriza en un sitio web falso pero muy convincente, con dominios que imitan a plataformas reales de videollamadas o a servicios de protección como Cloudflare. En la página aparece un supuesto error de conexión o compatibilidad y una indicación aparentemente inocua: copiar y pegar un comando simple en la Terminal para “solucionar el problema”.
Ese comando es el núcleo del engaño. Al ejecutarlo, se descarga y lanza el stager inicial del malware, identificado en algunos análisis como teamsSDK.bin, a través de herramientas como curl. Como es el propio usuario quien introduce y lanza la orden desde la Terminal, mecanismos como Gatekeeper tienden a considerar la ejecución como una acción consentida, de modo que muchos controles automáticos no se activan.
En ciertos incidentes ya documentados, los atacantes han llegado a secuestrar dominios de proyectos DeFi y reemplazar sus webs por un mensaje falso de Cloudflare que pide introducir un comando de verificación. El patrón se repite: se presenta un paso técnico como parte normal de un procedimiento de seguridad, pero en realidad se está dando luz verde a la instalación del malware.
Las cuatro fases del ataque: de la intrusión al robo de credenciales
Una vez que la víctima ha pegado y ejecutado el comando en la Terminal, Mach-O Man despliega un flujo de ataque en cuatro grandes etapas, descritas con detalle por el Quetzal Team de Bitso y corroboradas por otros analistas de seguridad.
En la primera fase, el stager se encarga de descargar y ejecutar binarios adicionales escritos en Go, firmados con certificados ad hoc para parecer aplicaciones legítimas de macOS. En muchos casos se presenta un paquete de aplicación falso que solicita la contraseña del sistema. Los investigadores han observado un detalle llamativo: la ventana en la que se introduce la clave puede “temblar” en los dos primeros intentos y aceptar la contraseña en el tercero, un truco de interfaz diseñado para generar una sensación de normalidad.
La segunda etapa se centra en el perfilado exhaustivo del sistema. Un módulo específico recopila información sobre el nombre de host, el UUID del dispositivo, el tipo de CPU, la versión exacta de macOS, procesos en ejecución, detalles de red y extensiones presentes en los principales navegadores. Con estos datos, los operadores valoran la importancia del objetivo y deciden si merece la pena avanzar hacia el vaciado de credenciales y fondos.
En la tercera fase, Mach-O Man establece un mecanismo de persistencia para mantenerse activo incluso tras reinicios del sistema. Para ello instala un archivo renombrado como Onedrive dentro de una ruta oculta, escondida en carpetas con nombres como “Antivirus Service”, y registra un LaunchAgent denominado com.onedrive.launcher.plist. Con este truco, el componente malicioso se ejecuta automáticamente cada vez que el usuario inicia sesión.
Por último, la cuarta etapa activa un stealer especializado en el robo de datos, identificado en varios informes como macrasv2. Este módulo recoge bases de datos SQLite con credenciales almacenadas por el navegador, cookies de sesión, información sobre extensiones —incluyendo wallets y herramientas DeFi—, así como elementos del llavero de macOS. Todo ese contenido se comprime en un archivo y se prepara para su envío al exterior.
Telegram como canal de exfiltración y el borrado de huellas
El paso final del ataque consiste en exfiltrar la información robada a través de Telegram. Mach-O Man utiliza la API de bots de la plataforma para enviar el archivo comprimido con credenciales, tokens y datos del sistema directamente a los operadores del ataque, mezclando su tráfico con un servicio ampliamente usado por comunidades cripto y equipos distribuidos.
Durante el análisis de los binarios, los investigadores detectaron tokens de bots de Telegram incrustados en el propio malware, un desliz de seguridad operativa que podría ser aprovechado por defensores para monitorizar los canales utilizados por los atacantes o incluso para interferir en sus comunicaciones. Sin embargo, mientras esos bots sigan en funcionamiento, el flujo de datos permanece activo y, desde el punto de vista de la red, relativamente discreto.
Otro rasgo característico de Mach-O Man es su capacidad de autodestrucción tras completar la misión. Muchos de sus componentes ejecutan comandos de borrado, como rm, para eliminar rastros locales de la infección una vez exfiltrada la información. En la práctica, cuando el equipo de seguridad detecta movimientos extraños en cuentas corporativas o un vaciado de fondos, el malware puede haber desaparecido ya del sistema.
Este enfoque de “entra, roba y borra” complica seriamente el análisis forense posterior. Sin artefactos evidentes en el Mac, los equipos de ciberseguridad deben recurrir a logs de red, patrones de conexión inusuales, registros de sistema y picos de CPU registrados con anterioridad para reconstruir la cadena de eventos. En organizaciones europeas con flotas extensas de Macs —como neobancos, proveedores de pagos o gestoras de activos digitales—, esta falta de huella clara añade un grado extra de incertidumbre.
Expertos como Newson apuntan a que una parte significativa de las víctimas aún no son conscientes de haber sido comprometidas por Mach-O Man. Incluso cuando existe la sospecha, no siempre es sencillo determinar qué variante concreta actuó, qué datos exactos se filtraron ni durante cuánto tiempo estuvo activo el malware, lo que retrasa la respuesta y la comunicación interna de incidentes.
Conexión con grandes robos cripto y el impacto en Europa y España
Mach-O Man se integra en un historial amplio de operaciones atribuidas a Lazarus contra el ecosistema cripto y fintech global. Entre los incidentes más sonados se encuentran robos multimillonarios a protocolos DeFi y exchanges centralizados, con cifras que en algunos casos superan los 1.000 millones de dólares. Ataques a plataformas como KelpDAO, Drift, Bybit o Zerion forman parte de ese patrón de actividad.
Además de los grandes golpes, se han documentado campañas más discretas pero constantes, como el robo de alrededor de 100.000 dólares a Zerion mediante ingeniería social apoyada en inteligencia artificial. Este tipo de incidentes muestran que Lazarus se mueve con soltura tanto en operaciones de alto perfil como en acciones continuadas orientadas a comprometer cuentas de individuos clave.
En este contexto, Mach-O Man representa un cambio de foco hacia el eslabón humano. En lugar de atacar directamente el código de un smart contract, la campaña se dirige a quienes gestionan tesorerías, claves administrativas y accesos internos a plataformas financieras. El objetivo final sigue siendo el mismo —controlar y desviar fondos—, pero el vector de ataque reside ahora en la persona que acepta una videollamada o ejecuta un comando sin sospechar.
Para Europa, donde se ha extendido la oferta de servicios cripto regulados, bancos con divisiones digitales y empresas de pagos con soluciones en activos digitales, esto supone un escenario de riesgo compartido entre actores nativos Web3 y jugadores financieros tradicionales. En España, hubs tecnológicos como Madrid, Barcelona, Valencia o Málaga concentran proyectos cripto, plataformas de inversión alternativa y startups fintech que encajan perfectamente en el perfil buscado por este tipo de campañas.
Las organizaciones que operan con macOS en puestos de alta responsabilidad y exposición a capital digital deben asumir que Mach-O Man figura ya en su catálogo de amenazas relevantes. No se trata solo de exchanges o protocolos DeFi puros: neobancos, gestoras de fondos que exploran la tokenización, proveedores de infraestructura cripto y fintech con clientes institucionales también se encuentran en el radar.
Por qué es tan difícil detectar Mach-O Man: el factor humano en el centro
Una de las claves del éxito de Mach-O Man reside en que no explota un fallo técnico clásico, sino una debilidad humana muy extendida: confiar en un contexto aparentemente legítimo y actuar con prisa. La campaña se basa en que la propia víctima ejecute, por iniciativa propia, un comando en la Terminal de su Mac para “resolver” un error de conexión o completar una supuesta verificación.
Los controles de seguridad tradicionales están mejor preparados para detectar archivos adjuntos sospechosos, ejecutables desconocidos o exploits automatizados que para bloquear un comando legítimo introducido por el usuario. Si ese comando viene envuelto en una reunión urgente con un socio importante, un aviso que aparenta ser de Cloudflare o un mensaje que parece provenir de un proveedor habitual, la probabilidad de que alguien lo ejecute sin pensárselo demasiado aumenta.
La campaña saca partido de un entorno en el que las agendas están saturadas de videollamadas y decisiones rápidas. En muchas empresas tecnológicas y financieras, es normal encadenar reuniones, recibir invitaciones de última hora y resolver incidencias sobre la marcha. En ese contexto, un paso técnico extra puede verse como una simple molestia, no como un posible vector de infección.
Además, la naturaleza modular y evolutiva de Mach-O Man dificulta la creación de firmas de detección estáticas fiables. Analistas como Vladimir S han enumerado varias variantes del ataque, con cambios en los binarios, rutas y nombres de archivo, aunque el guion social —ClickFix mediante invitaciones a videollamadas— se mantiene. Si las defensas se apoyan solo en indicadores tradicionales, los atacantes conservan margen para modificar elementos sin perder eficacia.
A esta complejidad se suma la capacidad de autodestrucción del malware. Cuando se detecta un movimiento sospechoso en cuentas corporativas o un descuadre en la tesorería, el rastro técnico en el Mac comprometido puede ser mínimo, lo que complica la atribución rápida a Mach-O Man y retrasa la adopción de contramedidas específicas en el resto de la organización.
Medidas prácticas para empresas cripto y fintech con flotas de macOS
Ante este panorama, los equipos de ciberseguridad que han estudiado Mach-O Man recomiendan un conjunto de medidas concretas y aplicables, especialmente dirigido a empresas europeas y españolas que despliegan Macs entre directivos y personal técnico de alto privilegio.
En el plano técnico, una de las primeras acciones consiste en auditar los directorios de LaunchAgents de los equipos macOS, buscando entradas sospechosas. Resulta prioritario vigilar referencias como com.onedrive.launcher.plist o procesos con nombre OneDrive ejecutándose desde rutas poco habituales, por ejemplo, carpetas ocultas con denominaciones del tipo “Antivirus Service”. Estas comprobaciones pueden integrarse en scripts de gestión de flota o en herramientas MDM, y es crucial mantener tu software al día.
Otra medida clave es monitorizar o restringir el tráfico hacia la API de Telegram Bot desde puestos corporativos, sobre todo en entornos donde no exista un uso legítimo de bots en el día a día. Aunque bloquear por completo Telegram puede no ser viable en todas las organizaciones, sí es posible aplicar reglas más finas que limiten específicamente las comunicaciones relacionadas con bots, reduciendo así las vías de exfiltración.
En el ámbito de la concienciación interna, los expertos insisten en un mensaje muy claro: no se debe pegar jamás un comando en la Terminal procedente de una página web o de un enlace de reunión no verificado. Esta idea, que puede parecer de sentido común, necesita refuerzo constante mediante formaciones, recordatorios y simulacros, sobre todo en equipos sometidos a alta presión y con una cultura de reuniones remotas intensiva.
También se recomienda verificar por canales alternativos cualquier invitación urgente que incluya pasos técnicos inusuales. Si un supuesto colega o socio pide ejecutar un comando en la Terminal, conviene confirmarlo por correo corporativo, mensajería interna oficial o incluso por llamada telefónica antes de actuar. Esa doble comprobación, aunque añada algo de fricción, reduce de forma drástica el riesgo de caer en campañas como ClickFix.
Por último, las organizaciones con sede en España y el resto de la Unión Europea deberían integrar indicadores de compromiso asociados a Mach-O Man en sus sistemas de monitorización: hashes de los binarios identificados, direcciones IP reportadas en los análisis iniciales, patrones de comandos inusuales en la Terminal y alertas por picos anómalos de CPU en procesos desconocidos. Incluso si el malware se autodestruye, estos rastros pueden ayudar a detectar infecciones en curso o intentos de intrusión fallidos.
La campaña Mach-O Man ilustra hasta qué punto la combinación de malware modular, ingeniería social y canales de exfiltración encubiertos puede transformar una videollamada aparentemente inocente en el detonante de una brecha grave. En un ecosistema europeo cada vez más expuesto al capital digital, y con un tejido empresarial español que se apoya fuertemente en macOS en sus puestos de decisión, reforzar la cultura de seguridad, desconfiar de los comandos improvisados y someter a escrutinio cualquier reunión urgente se ha convertido en una pieza básica para proteger credenciales, sistemas críticos y billeteras digitales frente a un actor tan persistente como el Grupo Lazarus.
