Un grupo de hackers vinculado a Corea del Norte, conocido como BlueNoroff, ha llevado sus tácticas de engaño a otro nivel: están haciéndose pasar por ejecutivos de empresas durante videollamadas por Zoom. ¿El objetivo? Engañar a trabajadores para que, sin saberlo, instalen malware diseñado específicamente para equipos Mac.
BlueNoroff (también llamado Sapphire Sleet o TA444) es un grupo de cibercriminales bastante conocido por sus ataques bien planeados, especialmente aquellos dirigidos al mundo de las criptomonedas. A lo largo del tiempo, han desarrollado malware tanto para Windows como para macOS, y ahora están usando esa experiencia para lanzar ataques más sofisticados.
Uno de sus movimientos más recientes se detectó el 11 de junio de 2025, cuando se identificó una posible intrusión en la red de una empresa. Todo apunta a que el objetivo, una vez más, era robar criptomonedas, una estrategia que ya han usado en ataques anteriores y que coincide con lo reportado por otras firmas de seguridad como SentinelLabs, Microsoft, Jamf y Kaspersky.
Ataques a través de Zoom: más que una simple videollamada
Todo empezó cuando un trabajador de una empresa tecnológica recibió un mensaje por Telegram. Quien lo contactó se hacía pasar por un profesional externo que pedía agendar una reunión. Nada fuera de lo común… al menos al principio.
El mensaje incluía un enlace de Calendly que, en teoría, era para una sesión por Google Meet. Pero al hacer clic, el enlace redirigía a una página que parecía Zoom, aunque en realidad era un dominio falso controlado por los atacantes.
Esta técnica no es nueva. Ya se había visto algo similar en abril en una campaña atribuida a un grupo de hackers norcoreanos conocido como Elusive Comet.
Cuando el empleado se conectó a la supuesta reunión, todo parecía legítimo. La videollamada incluía a lo que parecían ser ejecutivos de alto rango de su propia empresa (o al menos versiones muy creíbles creadas con deepfakes) y también a algunos “participantes externos” que reforzaban la sensación de que era algo serio y real.
Pero en medio de la conversación, el empleado tuvo problemas con su micrófono, que no funcionaba. Los “ejecutivos” (también deepfakes) le sugirieron descargar una extensión de Zoom para arreglar el fallo técnico.
El enlace se lo enviaron directamente por Telegram, y lo llevó a descargar un archivo con nombre inocente: zoom_sdk_support.scpt
. Lo que en realidad contenía era un script malicioso en AppleScript, diseñado para comprometer su equipo Mac.
Script malicioso de AppleScript para solucionar problemas con el microfono
Podría interesarte leer: Anuncios en Instagram Utilizan Deepfakes con IA para Estafarte
Así funciona el ataque paso a paso
Una vez que la víctima ejecuta el archivo malicioso, todo parece normal al principio. Se abre una página legítima del SDK de Zoom, como para no levantar sospechas. Pero lo que realmente está pasando detrás de escena es mucho más preocupante.
Después de analizar silenciosamente miles de líneas en blanco (sí, más de 10.000), el script ejecuta un comando oculto que descarga otra parte del malware desde un sitio web falso que imita a Zoom: support.us05webzoom.biz
. Desde ahí, se baja una segunda carga maliciosa y la ejecuta en el equipo de la víctima.
Cuando los investigadores entraron en acción para revisar el incidente, el dominio ya no estaba sirviendo el archivo, pero lograron encontrar una copia en VirusTotal que ayudó a entender cómo funcionaba todo.
Lo primero que hace el script es desactivar el historial de comandos para que no queden rastros. Luego revisa si el Mac tiene instalado Rosetta 2, un software que permite ejecutar apps diseñadas para procesadores Intel en las nuevas Macs con chip Apple Silicon. Si no está, lo instala automáticamente, sin pedir permiso, para poder ejecutar el resto del malware sin problemas.
Después, crea un archivo oculto llamado .pwd
(ese punto al inicio lo hace invisible para el usuario) y descarga otra parte del código malicioso a una carpeta temporal del sistema, con el nombre icloud_helper
. Y eso es solo el comienzo.
¿Qué encontraron exactamente?
Los investigadores de Huntress descubrieron al menos ocho archivos maliciosos diferentes en el equipo comprometido. Algunos eran pequeños, pero otros estaban diseñados para tomar control total del sistema. Aquí te explicamos los más importantes:
- Telegram 2: Parece un actualizador legítimo de Telegram, pero en realidad es el primer paso del ataque. Está programado para ejecutarse con regularidad y sirve como “puerta de entrada” para el resto del malware. Lo más engañoso es que el archivo está firmado con un certificado oficial de Telegram, lo que ayuda a que pase desapercibido.
- Root Troy V4: Este es una especie de centro de control. Está hecho en Go (un lenguaje de programación moderno) y permite a los atacantes ejecutar comandos a distancia, incluso si el equipo está en modo reposo. También puede descargar más archivos maliciosos y mantener activo todo el sistema de ataque.
- InjectWithDyld: Este componente se encarga de descifrar otras partes del malware y meterlas directamente en la memoria del sistema, sin dejar archivos visibles. Usa funciones especiales de macOS para inyectarse en otros procesos y, cuando termina, borra todo rastro para que sea muy difícil rastrearlo.
- XScreen (con teclado): Este es un espía puro y duro. Graba la pantalla, registra todo lo que escribes y vigila el portapapeles (sí, incluso cuando copias y pegas una contraseña). Todo eso lo manda en segundo plano a los servidores del atacante.
- CryptoBot (airmond): Diseñado específicamente para robar criptomonedas. Este programa va tras tus carteras digitales y credenciales. Puede atacar más de 20 plataformas diferentes, guardar tus datos en un archivo cifrado y luego enviarlos al atacante.
¿Por qué esto es tan preocupante?
Este ataque muestra lo sofisticados que se han vuelto los cibercriminales, especialmente grupos como BlueNoroff, que no solo crean malware para Mac (algo todavía relativamente raro), sino que ahora lo combinan con ingeniería social usando deepfakes en videollamadas.
Además, hay una falsa sensación de seguridad entre muchos usuarios de Mac. Se suele pensar que los equipos de Apple son “más seguros” y que el malware es cosa de Windows. Pero eso está cambiando rápido.
Con el crecimiento del uso de macOS en entornos corporativos, los hackers están adaptando sus ataques a este sistema. Ya no se trata solo de malware genérico o robos menores. Estamos viendo campañas bien planificadas, con herramientas complejas que apuntan a sectores específicos, como las criptomonedas o empresas tecnológicas.
¿Qué podemos aprender de esto?
-
Nadie está 100% a salvo, ni siquiera los usuarios de Mac.
-
Hay que desconfiar de cualquier enlace extraño o solicitud fuera de lo normal, incluso si parece venir de alguien con autoridad.
-
Las videollamadas no garantizan que quien está al otro lado sea real. Con los deepfakes, todo puede ser una actuación bien montada.
-
Las empresas deben educar a sus trabajadores y mantener sus sistemas actualizados y protegidos con herramientas adecuadas para detectar comportamientos sospechosos, no solo archivos peligrosos.
Si bien este ataque puede parecer algo sacado de una película, es completamente real. Y lo más preocupante es que este tipo de técnicas no van a desaparecer… solo se van a volver más comunes. ¿Usas Mac en tu empresa o para manejar criptomonedas? Este es el momento de reforzar tu seguridad.