Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware, incluida una puerta trasera modular Apple MacOS llamada ChillyHell y un troyano de acceso remoto (rata) basado en GO llamado Zynorrat que puede apuntar a los sistemas Windows y Linux. Según un análisis de Jamf Amenazing Labs, ChillyHell está escrito en C ++ y se desarrolla para las arquitecturas Intel. Chillyhell es el nombre asignado a un malware atribuido a un clúster de amenaza no categorizado denominado UNC4487. Se evalúa que el grupo de piratería ha estado activo desde al menos octubre de 2022. Según la inteligencia de amenazas compartida por Google Mandiant, UNC4487 es un presunto actor de espionaje que se ha observado que compromete los sitios web de las entidades gubernamentales ucranianas para redirigir e diseñar objetivos socialmente para ejecutar Matanbuchus o Chillyhell Malware. La compañía de gestión de dispositivos de Apple dijo que descubrió una nueva muestra de ChillyHell cargada en la plataforma de escaneo de malware virustotal el 2 de mayo de 2025. Se dice que el artefacto, notariado por Apple en 2021, se alojó públicamente en Dropbox desde entonces. Desde entonces, Apple ha revocado los certificados de desarrolladores vinculados al malware. Una vez ejecutado, el malware perfila ampliamente el host comprometido y establece la persistencia utilizando tres métodos diferentes, después de los cuales inicializa la comunicación de comando y control (C2) con un servidor codificado (93.88.75[.]252 o 148.72.172[.]53) sobre HTTP o DNS, y entra en un bucle de comando para recibir más instrucciones de sus operadores. Para configurar la persistencia, ChillyHell se instala como un lanzamiento de AGENT o un sistema de lanzamiento del sistema. Como mecanismo de respaldo, altera el perfil de shell del usuario (.zshrc, .bash_profile o .profile) para inyectar un comando de lanzamiento en el archivo de configuración. Una táctica notable adoptada por el malware es su uso de tiempo de tiempo para modificar las marcas de tiempo de los artefactos creados para evitar elevar las banderas rojas. «Si no tiene un permiso suficiente para actualizar las marcas de tiempo mediante una llamada del sistema directo, recurrirá al uso de comandos de shell touch -c -a -t y touch -c -m -t respectivamente, cada uno con una cadena formateada que representa una fecha del pasado como argumento incluido al final del comando», los investigadores de Jamf Ferdous Saljooki y Maggie Zirnhelt. ChillyHell admite una amplia gama de comandos que le permiten iniciar un shell inverso a la dirección IP C2, descargar una nueva versión del malware, obtener cargas útiles adicionales, ejecutar un módulo con nombre de módulo de módulo para enumerar las cuentas de los usuarios de «/etc/passwd» y realizar ataques de fuerza bruta utilizando una lista de contraseña predefinida retrate del servidor C2. «Entre sus múltiples mecanismos de persistencia, la capacidad de comunicarse sobre diferentes protocolos y estructura modular, Chillyhell es extraordinariamente flexible», dijo Jamf. «Las capacidades como el tiempo de tiempo y el agrietamiento de la contraseña hacen que esta muestra sea un hallazgo inusual en el panorama de amenazas de macOS actual». «En particular, ChillyHell fue notariado y sirve como un recordatorio importante de que no todo el código malicioso no se firma». Los hallazgos encajan con el descubrimiento de Zynorrat, una rata que utiliza un bot de telegrama llamado @lraterrorsbot (también conocido como LRAT) para Commandoer Infected Windows y Linux Hosts. La evidencia muestra que el malware se presentó por primera vez a Virustotal el 8 de julio de 2025. No comparte ninguna superposición con otras familias de malware conocidas. Compilado con GO, la versión de Linux admite una amplia gama de funciones para habilitar la exfiltración de archivos, la enumeración del sistema, la captura de captura de pantalla, la persistencia a través de los servicios de SystemD y la ejecución de comandos arbitrarios – /fs_list, para enumerar los directores /fs_get, a los archivos de exfiltrado de los archivos de host /métricos, para realizar el comando de system, para realizar el comando «, los» PS «. Un proceso específico al pasar el PID como entrada /captura_display, para tomar capturas de pantalla /persistir, para establecer persistencia La versión de Windows de Zynorrat es casi idéntica a su contraparte de Linux, al tiempo que recurre a los mecanismos de persistencia basados ​​en Linux. Esto probablemente indica que el desarrollo de la variante de Windows es un trabajo en progreso. «Su objetivo principal es servir como una herramienta de colección, exfiltración y acceso remoto, que se gestiona centralmente a través de un bot de telegrama», dijo la investigadora de Sysdig, Alessandra Rizzo. «Telegram sirve como la infraestructura C2 principal a través de la cual el malware recibe más comandos una vez desplegados en una máquina víctima». Un análisis posterior de las capturas de pantalla filtradas a través del bot del telegrama ha revelado que las cargas útiles se distribuyen a través de un servicio de intercambio de archivos conocido como dosya.co, y que el autor de malware puede haber «infectado» sus propias máquinas para probar la funcionalidad. Se cree que Zynorrat es obra de un actor solitario que posiblemente de origen turco, dado el lenguaje utilizado en los chats de telegrama. «Aunque el ecosistema de malware no tiene escasez de ratas, los desarrolladores de malware aún dedican su tiempo a crearlas desde cero», dijo Rizzo. «La personalización de Zynorrat y los controles automatizados subrayan la sofisticación en evolución del malware moderno, incluso dentro de sus primeras etapas».