Puerta trasera CHILLYHELL para MacOS
Expertos en ciberseguridad han descubierto una nueva familia de malware que ataca el ecosistema macOS de Apple. Se trata de una puerta trasera modular denominada CHILLYHELL, que genera serias preocupaciones debido a su flexibilidad y sus avanzados métodos de persistencia.
Tabla de contenido
Orígenes y atribución
CHILLYHELL ha sido vinculado a un clúster de amenazas sin categorizar denominado UNC4487, que se cree que está activo desde al menos octubre de 2022. Informes de inteligencia sugieren que el grupo probablemente sea un agente de espionaje. Sus operaciones incluyen comprometer sitios web de entidades gubernamentales ucranianas y engañar a los visitantes para que ejecuten malware Matanbuchus o CHILLYHELL.
Antecedentes técnicos
La puerta trasera está escrita en C++ y diseñada para ejecutarse en sistemas macOS con procesador Intel. Una muestra de CHILLYHELL recién descubierta, con fecha del 2 de mayo de 2025, reveló que el malware había sido certificado por Apple en 2021 y alojado públicamente en Dropbox desde entonces. Tras este descubrimiento, Apple revocó los certificados de desarrollador asociados.
Mecanismos de infección y persistencia
Una vez implementado en el sistema de la víctima, CHILLYHELL realiza un análisis exhaustivo del host y establece persistencia mediante tres métodos distintos. Posteriormente, contacta con un servidor de comando y control (C2) codificado mediante HTTP o DNS y entra en un bucle de comandos para recibir instrucciones.
La configuración de la persistencia implica múltiples estrategias:
- Instalándose como un LaunchAgent o LaunchDaemon del sistema
- Modificar perfiles de shell como .zshrc, .bash_profile o .profile para insertar un comando de inicio
Evasión mediante el uso del tiempo
Una técnica de evasión particularmente notable es el uso de timestamping por parte de CHILLYHELL, que altera las marcas de tiempo de los archivos maliciosos para que se integren con artefactos legítimos del sistema. Si no es posible realizar llamadas directas al sistema debido a privilegios insuficientes, el malware utiliza comandos de shell como:
- touch -c -a -t (para modificar el tiempo de acceso)
- touch -c -m -t (para ajustar el tiempo de modificación)
Ambos comandos incluyen una cadena de marca de tiempo retroactiva para evitar sospechas.
Capacidades de mando
El diseño modular de CHILLYHELL ofrece a los operadores una amplia gama de funciones. Entre los comandos compatibles se encuentran:
- Lanzando un shell inverso al servidor C2
- Descargar versiones actualizadas de malware
- Recuperación y ejecución de cargas útiles adicionales
- Ejecución del módulo ModuleSUBF para enumerar cuentas de usuario desde /etc/passwd
- Realizar ataques de fuerza bruta utilizando una lista de contraseñas proporcionada por el servidor C2
Una amenaza sofisticada para macOS
Con múltiples mecanismos de persistencia, protocolos de comunicación versátiles y una estructura modular, CHILLYHELL destaca como un malware para macOS excepcionalmente sofisticado. Características como el sellado de tiempo y el descifrado de contraseñas lo distinguen de las amenazas habituales en el panorama de la plataforma.
Un detalle alarmante es que el malware estaba certificado por Apple, lo que demuestra que no todo el software certificado es seguro. Esto pone de relieve la necesidad de que los usuarios y las organizaciones se mantengan alerta y no dependan únicamente de la firma de código o la certificación como indicadores de fiabilidad.
