(https://i.imgur.com/L0TkisN.jpeg)
El panorama del cibercrimen en 2025 continúa evolucionando con el descubrimiento de nuevas familias de malware altamente sofisticadas. Recientemente, investigadores de Jamf Threat Labs y Sysdig alertaron sobre dos amenazas críticas que destacan por su persistencia, modularidad y alcance multiplataforma: CHILLYHELL, diseñado para macOS, y ZynorRAT, un troyano de acceso remoto que afecta a Windows y Linux.
CHILLYHELL: espionaje avanzado en macOSOrigen y atribución a UNC4487Según el análisis de Jamf Threat Labs, CHILLYHELL está escrito en C++, desarrollado para arquitecturas Intel y vinculado al grupo de amenazas UNC4487, un presunto actor de espionaje activo desde al menos octubre de 2022.
Google Mandiant ha identificado a UNC4487 como responsable de comprometer sitios web de entidades gubernamentales ucranianas con fines de espionaje, utilizando técnicas de ingeniería social para redirigir a víctimas hacia la ejecución de Matanbuchus o CHILLYHELL.
Descubrimiento y distribuciónEl 2 de mayo de 2025, Jamf identificó una nueva muestra de CHILLYHELL en VirusTotal. El malware había sido notariado por Apple en 2021 y alojado públicamente en Dropbox, lo que facilitó su propagación. Tras el hallazgo, Apple revocó los certificados de desarrollador vinculados.
Métodos de persistencia y evasión
Una vez ejecutado, CHILLYHELL realiza un perfil exhaustivo del host comprometido y establece persistencia mediante:
- Instalación como LaunchAgent o LaunchDaemon.
- Modificación de perfiles de shell (.zshrc, .bash_profile o .profile) para inyectar comandos maliciosos.
- Uso de timestomping para alterar marcas de tiempo y evitar detección.
Si no dispone de permisos elevados, utiliza comandos de shell como:
- touch -c -a -t
- touch -c -m -t
para falsificar fechas y ocultar su actividad.
Capacidades principalesCHILLYHELL es un malware modular y flexible. Entre sus funciones destacadas:
- Shell inverso hacia servidores C2 (93.88.75[.]252 o 148.72.172[.]53).
- Descarga de versiones actualizadas o payloads adicionales.
- Módulo ModuleSUBF para enumerar usuarios de /etc/passwd.
- Ataques de fuerza bruta con contraseñas predefinidas.
Según Jamf, estas características lo convierten en un hallazgo inusual y peligroso para macOS, recordando que no todo malware carece de firma digital, ya que CHILLYHELL fue notariado por Apple en su origen.
ZynorRAT: una RAT multiplataforma distribuida por Telegram
Origen y atribución
En paralelo, los investigadores de Sysdig descubrieron ZynorRAT, un troyano de acceso remoto (RAT) escrito en Go y distribuido a través de un bot de Telegram denominado @lraterrorsbot.
El análisis sugiere que podría tratarse de la obra de un actor solitario de origen turco, dado el idioma observado en los chats del canal.
Capacidades en LinuxLa versión de Linux de ZynorRAT ofrece un amplio rango de comandos, entre ellos:
- /fs_list → enumerar directorios.
- /fs_get → exfiltrar archivos.
- /metrics → perfilado del sistema.
- /proc_list → listar procesos en ejecución.
- /proc_kill → finalizar procesos mediante PID.
- /capture_display → tomar capturas de pantalla.
- /persist → establecer persistencia con systemd.
Versión para WindowsLa variante para Windows es casi idéntica, pero aún depende de mecanismos de persistencia basados en Linux, lo que indica que su desarrollo está en fase temprana.
Infraestructura y distribuciónZynorRAT se gestiona de manera centralizada a través de Telegram, utilizado como canal de comando y control (C2).
Además, los investigadores hallaron que las cargas útiles se distribuyen mediante el servicio Dosya.co, y que el propio autor podría estar probando el malware en máquinas personales antes de desplegarlo a gran escala.
(https://i.imgur.com/ei3ztxd.jpeg)
En fin, el descubrimiento de CHILLYHELL y ZynorRAT pone de manifiesto la evolución constante del malware moderno. Ambos destacan por su sofisticación técnica, persistencia múltiple y modularidad, lo que los convierte en amenazas altamente adaptables.
Mientras CHILLYHELL refleja la actividad de un grupo de espionaje bien organizado (UNC4487) contra objetivos estratégicos, ZynorRAT muestra cómo incluso actores individuales pueden crear malware multiplataforma potente aprovechando infraestructuras accesibles como Telegram.
La lección es clara: tanto en macOS, como en Windows y Linux, el riesgo de nuevas variantes de malware es real. Las organizaciones deben reforzar su monitoreo de seguridad, actualizar sistemas y aplicar inteligencia de amenazas proactiva para mitigar estos ataques antes de que alcancen un impacto masivo.
Fuente: https://thehackernews.com/