{"id":47034,"date":"2026-04-26T08:28:42","date_gmt":"2026-04-26T11:28:42","guid":{"rendered":"https:\/\/boomdenoticias.com\/?p=47034"},"modified":"2026-04-26T08:28:42","modified_gmt":"2026-04-26T11:28:42","slug":"hackers-norcoreanos-apuntan-a-usuarios-de-apple-con-falsas-videollamadas-como-funciona-el-engano-con-el-malware-mach-o-man","status":"publish","type":"post","link":"https:\/\/boomdenoticias.com\/?p=47034","title":{"rendered":"Hackers norcoreanos apuntan a usuarios de Apple con falsas videollamadas: c\u00f3mo funciona el enga\u00f1o con el malware \u201cMach-O Man\u201d"},"content":{"rendered":"<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>Una nueva campa\u00f1a cibercriminal, atribuida al grupo de hackers <strong>Lazarus (Corea del Norte)<\/strong>, genera reuniones falsas de Zoom y Google Meet para ganar acceso a empresas y robar informaci\u00f3n sensible. A trav\u00e9s de un programa malicioso (malware), apunta a empleados que usan <strong>macOS (Apple) <\/strong>para llevarse sus contrase\u00f1as, historial de navegaci\u00f3n e informaci\u00f3n que permita facilitar intrusiones. Seg\u00fan pudo saber <strong>Clar\u00edn<\/strong>,<strong> hay casos de empresas de Am\u00e9rica Latina <\/strong>relacionadas al mundo fintech que ya fueron blanco de este tipo de ataques.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>La informaci\u00f3n sale de una investigaci\u00f3n que hizo un hacker y especialista en inteligencia cibercriminal, Mauro Eldritch, que public\u00f3 <a href=\"https:\/\/any.run\/cybersecurity-blog\/lazarus-macos-malware-mach-o-man\/\" target=\"_blank\" title=\"un art\u00edculo\">un art\u00edculo<\/a> que detalla c\u00f3mo opera esta amenaza: el ataque arranca con una invitaci\u00f3n falsa a una videollamada sigue con un<strong> supuesto error t\u00e9cnico <\/strong>que obliga a la v\u00edctima a copiar y pegar un comando y termina con el robo de credenciales, sesiones activas del navegador y datos de contrase\u00f1as de Apple.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>La presencia de Corea del Norte en el mundo cibercriminal corporativo est\u00e1 creciendo. En 2023, el hacker descubri\u00f3 una campa\u00f1a activa de un programa malicioso que<a href=\"https:\/\/any.run\/cybersecurity-blog\/lazarus-macos-malware-mach-o-man\/\" target=\"_blank\" title=\" se hac\u00eda pasar por un generador de c\u00f3digos QR\"> se hac\u00eda pasar por un generador de c\u00f3digos QR<\/a> para enga\u00f1ar a usuarios y tratar de extraer informaci\u00f3n. Durante el a\u00f1o pasado, sigui\u00f3 una campa\u00f1a de entrevistas falsas de agentes norcoreanos que <strong>buscaban infiltrarse en <a href=\"https:\/\/quetzal.bitso.com\/p\/interview-with-the-chollima-v\" target=\"_blank\" title=\"una fintech mexicana\">una fintech mexicana<\/a>.<\/strong><\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>El analista bautiz\u00f3 al malware <strong>\u201cMach-O Man\u201d<\/strong>, en un juego de palabras con el nombre de la estructura de los binarios en macOS (Mach-O) y la hist\u00f3rica canci\u00f3n de los Village People.<\/p>\n<\/div>\n<h2>C\u00f3mo opera el malware<\/h2>\n<div class=\"sc-98b114a2-0 bkqiHH image-embed  image-embed \"><img fetchpriority=\"high\" decoding=\"async\" alt=\"Slack, una de las apps de chat laboral m\u00e1s usadas del mundo. Foto: Shutterstock \" loading=\"eager\" width=\"720\" height=\"480\" data-nimg=\"1\" src=\"https:\/\/www.clarin.com\/img\/2026\/04\/24\/gjWslzDYj_720x0__1.jpg\" \/><span class=\"epigraphe\" aria-hidden=\"true\">Slack, una de las apps de chat laboral m\u00e1s usadas del mundo. Foto: Shutterstock <\/span><span class=\"picture-open\"><button class=\"open-image\" aria-label=\"Open Image\"><\/button><\/span><\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>La infecci\u00f3n empieza, seg\u00fan el an\u00e1lisis publicado en la plataforma <a href=\"https:\/\/any.run\/cybersecurity-blog\/lazarus-macos-malware-mach-o-man\/\" target=\"_blank\" title=\"ANY.RUN\">ANY.RUN<\/a>, con ingenier\u00eda social: un enga\u00f1o al empleado. Seg\u00fan la investigaci\u00f3n, Telegram es una de las aplicaciones predilectas para establecer el contacto con la v\u00edctima (motivo por el cual las compa\u00f1\u00edas piden a los empleados que no usen aplicaciones de comunicaci\u00f3n que no sean las oficiales, <strong>como Slack o Teams<\/strong>).<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>Muchas veces usan cuentas robadas a personalidades del mundo cripto como inversores y aprovechan esas listas de contactos para buscar v\u00edctimas. Este paso es clave y es lo que explica por qu\u00e9 la v\u00edctima \u201cconoce\u201d al remitente de estos mensajes:<strong> cree que es un intercambio leg\u00edtimo.<\/strong><\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>El enlace redirige a una p\u00e1gina falsa que imita Zoom, Google Meet o, incluso, Microsoft Teams. Una vez all\u00ed, aparece un supuesto error t\u00e9cnico y la v\u00edctima recibe una instrucci\u00f3n para \u201carreglar\u201d el problema: copiar y pegar un comando en la Terminal de Mac, que es una interfaz interna del sistema que permite ejecutar comandos en texto. Esa es la clave del ataque: el usuario mismo ejecuta una orden que<strong> le abre la puerta al atacante<\/strong>, en lugar de aprovechar una vulnerabilidad del sistema.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>A partir de ese momento, el malware descarga una aplicaci\u00f3n falsa que puede hacerse pasar por Zoom, Teams o incluso por un mensaje del sistema. Esa ventana le pide al usuario que ingrese la contrase\u00f1a de su Mac varias veces. Mientras tanto, en segundo plano, el programa empieza a relevar informaci\u00f3n del equipo, instala mecanismos para<strong> seguir activo aunque la computadora se reinicie<\/strong> y busca credenciales guardadas en el navegador, cookies y sesiones abiertas.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>Seg\u00fan el an\u00e1lisis de Eldritch, toda esa informaci\u00f3n se comprime y se env\u00eda a los atacantes a trav\u00e9s de Telegram. De all\u00ed en adelante, los usos de esa informaci\u00f3n robada pueden ser m\u00faltiples, pero siempre suelen tener fines maliciosos.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>Esta operatoria, que no es nueva, se caracteriz\u00f3 por ser detectada apuntando a empresas de Am\u00e9rica Latina.<\/p>\n<\/div>\n<h2>Lazarus: Corea del Norte, activo en la regi\u00f3n<\/h2>\n<div class=\"sc-98b114a2-0 bkqiHH image-embed  image-embed \"><img decoding=\"async\" alt=\"Kim Jong-un, en Pionyang, Corea del Norte. Fotograf\u00eda cedida por la Agencia Estatal de Noticias Norcoreana (Kcna) - EFE\" loading=\"eager\" width=\"720\" height=\"480\" data-nimg=\"1\" src=\"https:\/\/www.clarin.com\/img\/2026\/02\/23\/jiNucVm3x_720x0__1.jpg\" \/><span class=\"epigraphe\" aria-hidden=\"true\">Kim Jong-un, en Pionyang, Corea del Norte. Fotograf\u00eda cedida por la Agencia Estatal de Noticias Norcoreana (Kcna) &#8211; EFE<\/span><span class=\"picture-open\"><button class=\"open-image\" aria-label=\"Open Image\"><\/button><\/span><\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>Lazarus es el nombre con el que se conoce a uno de los grupos de hackers m\u00e1s famosos y persistentes del mundo, vinculado desde hace a\u00f1os al r\u00e9gimen de Corea del Norte. Los primeros rastros de su actividad aparecen entre fines de la d\u00e9cada de 2000 y comienzos de la de 2010, cuando investigadores empezaron a relacionarlo con campa\u00f1as de <a href=\"https:\/\/www.clarin.com\/mundo\/escalada-tension-corea-regimen-kim-acusa-seul-enviar-drones-espia_0_x4Tz8Y85l6.html\" target=\"_blank\" title=\"espionaje y sabotaje\">espionaje y sabotaje<\/a> contra Corea del Sur.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>Con el tiempo, pas\u00f3 de ser visto como un actor de ciberespionaje a convertirse en una maquinaria h\u00edbrida que combina operaciones pol\u00edticas, robo de informaci\u00f3n, ataques destructivos y golpes financieros a escala global.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>En rigor, si bien se habla de \u201chackers norcoreanos\u201d, en terminolog\u00eda t\u00e9cnica se dice que sus acciones son <strong>\u201catribuidas a Corea del Norte\u201d<\/strong>, adem\u00e1s de que se habla de \u201cgrados de confianza\u201d en la atribuci\u00f3n. En el caso de Mach-O Man, el grado de confianza en que Lazarus est\u00e1 detr\u00e1s es alto.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>\u201cAl analizar la campa\u00f1a Mach\u2011O Man junto con investigaciones previas de Check Point como <a href=\"https:\/\/blog.checkpoint.com\/crypto\/the-whitelist-illusion-when-your-trusted-list-becomes-a-billion-dollar-attack-path\/\" target=\"_blank\" title=\"The Whitelist Illusion\">The Whitelist Illusion<\/a>, aparece un patr\u00f3n claro en la forma de operar de Lazarus: el aprovechamiento de la confianza como punto de entrada\u201d, dice en di\u00e1logo con <strong>Clar\u00edn <\/strong>Alejandro Botter, gerente de ingenier\u00eda de Check Point para el sur de Latinoam\u00e9rica.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>\u201cYa sea a trav\u00e9s de reuniones virtuales falsas que llevan a las personas a realizar acciones que parecen normales, o mediante el uso de relaciones previamente consideradas seguras en entornos cripto, el grupo evita ataques directos y, en cambio, se apoya en procesos leg\u00edtimos para pasar desapercibido\u201d, agrega.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>\u201cDesde la perspectiva de Check Point resulta relevante c\u00f3mo esta actividad<strong> se alinea con patrones y tendencias que hemos observado a lo largo del tiempo en Lazarus<\/strong>. Investigaciones previas muestran que este actor prioriza operaciones altamente dirigidas, enfocadas en perfiles y entornos de alto valor, y adaptadas a los contextos tecnol\u00f3gicos y operativos de sus objetivos\u201d, sigue.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>\u201cEn ese sentido, el uso de se\u00f1uelos cre\u00edbles, la orientaci\u00f3n a usuarios espec\u00edficos y la preferencia por mecanismos de acceso inicial de bajo ruido refuerzan una estrategia consistente del grupo, independientemente del malware o campa\u00f1a puntual involucrada\u201d, cierra.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>Entre los ataques m\u00e1s conocidos de Lazarus aparece el <a href=\"https:\/\/www.clarin.com\/entremujeres\/hogar-y-familia\/ataque-hackers-desnudo-sony_0_SJUwYrFPQg.html\" target=\"_blank\" title=\"hackeo a Sony Pictures en 2014\">hackeo a Sony Pictures en 2014<\/a>, que expuso pel\u00edculas in\u00e9ditas, correos internos y datos de empleados; el robo de US$ 81 millones al Banco Central de Bangladesh en 2016 a trav\u00e9s del sistema SWIFT y el ransomware <strong><a href=\"https:\/\/www.clarin.com\/tecnologia\/detuvo-ciberataque-afecto-99-paises-grandes-corporaciones_0_SkytI94lb.html\" target=\"_blank\" title=\"WannaCry en 2017\">WannaCry en 2017<\/a><\/strong>, el m\u00e1s popular del mundo: infect\u00f3 cientos de miles de computadoras en m\u00e1s de 150 pa\u00edses.<\/p>\n<\/div>\n<div class=\"sc-45461e9c-0 eqiBeF container-text text-embed \">\n<p>En los \u00faltimos a\u00f1os, adem\u00e1s, Lazarus volvi\u00f3 a quedar en el centro de la escena por <strong>su foco en el ecosistema cripto<\/strong>: en 2022, el FBI lo se\u00f1al\u00f3 como responsable del robo de unos US$ 620 millones a la red Ronin, vinculada al juego Axie Infinity.<\/p>\n<\/div>\n<p><strong><a href=\"https:\/\/blockads.fivefilters.org\/\">Adblock test<\/a><\/strong> <a href=\"https:\/\/blockads.fivefilters.org\/acceptable.html\">(Why?)<\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>Una nueva campa\u00f1a cibercriminal, atribuida al grupo de hackers Lazarus (Corea del Norte), genera reuniones falsas de Zoom y Google&hellip;<\/p>\n","protected":false},"author":1,"featured_media":47035,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33],"tags":[],"class_list":["post-47034","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=\/wp\/v2\/posts\/47034","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=47034"}],"version-history":[{"count":0,"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=\/wp\/v2\/posts\/47034\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=\/wp\/v2\/media\/47035"}],"wp:attachment":[{"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=47034"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=47034"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/boomdenoticias.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=47034"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}