Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware, incluida una puerta trasera modular de Apple macOS llamada INFIERNO FRÍO y un troyano de acceso remoto (RAT) basado en Go llamado ZynorRat que puede dirigirse a sistemas Windows y Linux.
Según un análisis de Jamf Threat Labs, ChillyHell está escrito en C++ y desarrollado para arquitecturas Intel.
CHILLYHELL es el nombre asignado a un malware que se atribuye a un clúster de amenazas sin categoría denominado UNC4487. Se estima que el grupo de hackers ha estado activo desde al menos octubre de 2022.
Según la inteligencia de amenazas compartido de Google Mandiant, UNC4487 es un presunto actor de espionaje que se ha observado que compromete los sitios web de entidades gubernamentales ucranianas para redirigir y diseñar socialmente objetivos para ejecutarlos Matanbuchus o el malware CHILLYHELL.
La empresa de gestión de dispositivos Apple dijo que descubrió una nueva muestra de CHILLYHELL cargada en la plataforma de escaneo de malware VirusTotal el 2 de mayo de 2025. Se dice que el artefacto, certificado ante notario por Apple en 2021, ha estado alojado públicamente en Dropbox desde entonces. Desde entonces, Apple ha revocado los certificados de desarrollador vinculados al malware.
Una vez ejecutado, el malware perfila exhaustivamente el host infectado y establece la persistencia mediante tres métodos diferentes, tras los cuales inicializa la comunicación de comando y control (C2) con un servidor codificado (93.88.75 [.] 252 o 148.72.172 [.] 53) a través de HTTP o DNS, y entra en un bucle de comandos para recibir más instrucciones de sus operadores.
Para configurar la persistencia, CHILLYHELL se instala como LaunchAgent o un LaunchDaemon del sistema. Como mecanismo de respaldo, modifica el perfil de shell del usuario (.zshrc, .bash_profile o .profile) para insertar un comando de lanzamiento en el archivo de configuración.
Una táctica notable adoptada por el malware es el uso de la limitación temporal para modificar las marcas de tiempo de los artefactos creados y evitar generar señales de alerta.
«Si no tiene los permisos suficientes para actualizar las marcas de tiempo mediante una llamada directa al sistema, volverá a utilizar los comandos de shell touch -c -a -t y touch -c -m -t respectivamente, cada uno con una cadena formateada que representa una fecha del pasado como argumento incluido al final del comando», afirman los investigadores de Jamf Ferdous Saljooki y Maggie Zirnhelt.
CHILLYHELL admite una amplia gama de comandos que le permiten lanzar un shell inverso a la dirección IP C2, descargar una nueva versión del malware, obtener cargas útiles adicionales, ejecutar un módulo llamado ModuleSubf para enumerar las cuentas de usuario de «/etc/passwd» y realizar ataques de fuerza bruta utilizando una lista de contraseñas predefinidas recuperada del servidor C2.
«Entre sus múltiples mecanismos de persistencia, su capacidad de comunicarse a través de diferentes protocolos y su estructura modular, ChillyHell es extraordinariamente flexible», afirma Jamf. «Gracias a funciones como el rastreo de tiempos y el descifrado de contraseñas, este ejemplo es un hallazgo inusual en el panorama actual de amenazas para macOS».
«Cabe destacar que ChillyHell fue certificada ante notario y sirve como un recordatorio importante de que no todos los códigos maliciosos vienen sin firmar».
Los hallazgos coinciden con el descubrimiento de ZynorRat, una RAT que utiliza un bot de Telegram llamado @lraterrorsbot (también conocido como lrat) para controlar los hosts de Windows y Linux infectados. La evidencia muestra que el malware se envió por primera vez a VirusTotal el 8 de julio de 2025. No comparte ninguna superposición con otras familias de malware conocidas.
Compilada con Go, la versión de Linux admite una amplia gama de funciones para permitir la exfiltración de archivos, la enumeración del sistema, la captura de capturas de pantalla, la persistencia a través de los servicios de systemd y la ejecución arbitraria de comandos -
- /fs_list, para enumerar los directorios
- /fs_get, para extraer archivos del host
- /metrics, para realizar la creación de perfiles del sistema
- /proc_list, para ejecutar el comando «ps» de Linux
- /proc_kill, para matar un proceso específico pasando el PID como entrada
- /capture_display, para hacer capturas de pantalla
- /persist, para establecer la persistencia
La versión de Windows de ZynorRat es casi idéntica a la de su homóloga de Linux, aunque sigue recurriendo a mecanismos de persistencia basados en Linux. Esto probablemente indica que el desarrollo de la variante de Windows es un trabajo en progreso.
«Su objetivo principal es servir como una herramienta de recopilación, exfiltración y acceso remoto, que se administra de forma centralizada a través de un bot de Telegram», dijo Alessandra Rizzo, investigadora de Sysdig dijo . «Telegram es la principal infraestructura C2 a través de la cual el malware recibe más comandos una vez desplegado en la máquina de la víctima».
Un análisis más detallado de las capturas de pantalla filtradas a través del bot de Telegram ha revelado que las cargas útiles se distribuyen a través de un servicio de intercambio de archivos conocido como Dosya.co, y que el autor del malware puede haber «infectado» sus propias máquinas para probar la funcionalidad.
Se cree que ZynorRat es obra de un actor solitario, posiblemente de origen turco, dado el idioma utilizado en los chats de Telegram.
«Aunque el ecosistema de malware no carece de RAT, los desarrolladores de malware siguen dedicando su tiempo a crearlos desde cero», afirma Rizzo. «La personalización y los controles automatizados de ZynorRat subrayan la creciente sofisticación del malware moderno, incluso en sus primeras etapas».