Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware, incluida una puerta trasera modular de Apple MacOS llamado Frío y un troyano de camino remoto basado en Go (rata) notorio Zinorrat Eso puede apuntar a los sistemas Windows y Linux.
Según un investigación de Jamf Amenazing Labs, ChillyHell está escrito en C ++ y se desarrolla para las arquitecturas Intel.
Chillyhell es el nombre asignado a un malware atribuido a un clúster de amenaza no categorizado denominado UNC4487. Se evalúa que el comunidad de piratería ha estado activo desde al menos octubre de 2022.
Según la inteligencia de amenazas compartida por Google Mandiant, UNC4487 es un supuesto actor de espionaje que se ha observado que compromete los sitios web de las entidades del gobierno ucraniano para redirigir e ingeniería social para ejecutar Matanbuchus o malware Chillyhell.
La compañía de dirección de dispositivos de Apple dijo que descubrió una nueva muestra de ChillyHell cargada en la plataforma de escaneo de malware virustotal el 2 de mayo de 2025. Se dice que el artefacto, notariado por Apple en 2021, se alojó públicamente en Dropbox desde entonces. Desde entonces, Apple ha revocado los certificados de desarrolladores vinculados al malware.
Una vez ejecutado, el malware perfila ampliamente el host comprometido y establece la persistencia utilizando tres métodos diferentes, a posteriori de los cuales inicializa la comunicación de comando y control (C2) con un servidor codificado (93.88.75 (.) 252 o 148.72.172 (.) 53) sobre HTTP o DNS, y entra en un caracolillo de comando para cobrar más instrucciones de sus operadores.
Para configurar la persistencia, ChillyHell se instala como un divulgación de AGENT o un sistema de divulgación del sistema. Como mecanismo de respaldo, altera el perfil de shell del favorecido (.zshrc, .bash_profile o .profile) para inyectar un comando de divulgación en el archivo de configuración.
Una táctica trascendente adoptada por el malware es su uso de tiempo de tiempo para modificar las marcas de tiempo de los artefactos creados para evitar elevar las banderas rojas.
«Si no tiene un permiso suficiente para desempolvar las marcas de tiempo mediante una convocatoria del sistema directo, recurrirá al uso de comandos de shell touch -c -a -t y touch -c -m -t respectivamente, cada uno con una dependencia formateada que representa una data del pasado como argumento incluido al final del comando», los investigadores de Jamf Ferdous Saljooki y Maggie Zirnhelt.
ChillyHell admite una amplia variedad de comandos que le permiten iniciar un shell inverso a la dirección IP C2, descargar una nueva interpretación del malware, obtener cargas aperos adicionales, ejecutar un módulo con nombre de módulo de módulo para enumerar las cuentas de los usuarios de «/etc/passwd» y realizar ataques de fuerza bruta utilizando una repertorio de contraseña predefinida retrate del servidor C2.
«Entre sus múltiples mecanismos de persistencia, la capacidad de comunicarse sobre diferentes protocolos y estructura modular, Chillyhell es extraordinariamente flexible», dijo Jamf. «Las capacidades como el tiempo de tiempo y el agrietamiento de la contraseña hacen que esta muestra sea un hallazgo inusual en el panorama de amenazas de macOS flagrante».
«En particular, ChillyHell fue notariado y sirve como un recordatorio importante de que no todo el código malvado no se firma».
Los hallazgos encajan con el descubrimiento de Zynorrat, una rata que utiliza un bot de telegrama llamado @lraterrorsbot (además conocido como LRAT) para Commandoer Infected Windows y Linux Hosts. La evidencia muestra que el malware se presentó por primera vez a Virustotal el 8 de julio de 2025. No comparte ninguna superposición con otras familias de malware conocidas.
Compilado con GO, la interpretación de Linux admite una amplia variedad de funciones para habilitar la exfiltración de archivos, la enumeración del sistema, la captura de captura de pantalla, la persistencia a través de los servicios Systemd y la ejecución de comandos arbitrarios –
- /fs_list, para enumerar los directorios
- /fs_get, para exfiltrar archivos desde el host
- /Métricas, para realizar el perfil del sistema
- /proc_list, para ejecutar el comando «PS» Linux
- /proc_kill, para matar un proceso específico al sobrevenir el PID como entrada
- /Capture_Display, para tomar capturas de pantalla
- /Persistir, establecer la persistencia
La interpretación de Windows de Zynorrat es casi idéntica a su contraparte de Linux, al tiempo que recurre a los mecanismos de persistencia basados en Linux. Esto probablemente indica que el expansión de la cambio de Windows es un trabajo en progreso.
«Su objetivo principal es servir como una útil de colección, exfiltración y camino remoto, que se gestiona centralmente a través de un bot de telegrama», dijo la investigadora de Sysdig, Alessandra Rizzo. «Telegram sirve como la infraestructura C2 principal a través de la cual el malware recibe más comandos una vez desplegados en una máquina víctima».
Un investigación posterior de las capturas de pantalla filtradas a través del bot del telegrama ha revelado que las cargas aperos se distribuyen a través de un servicio de intercambio de archivos conocido como dosya.co, y que el autor de malware puede sobrevenir «infectado» sus propias máquinas para probar la funcionalidad.
Se cree que Zynorrat es obra de un actor solitario que posiblemente de origen turco, regalado el idioma utilizado en los chats de telegrama.
«Aunque el ecosistema de malware no tiene escasez de ratas, los desarrolladores de malware aún dedican su tiempo a crearlas desde cero», dijo Rizzo. «La personalización de Zynorrat y los controles automatizados subrayan la sofisticación en cambio del malware flamante, incluso internamente de sus primeras etapas».
