¡Revisa tu Termius! Puede que los hackers lleven meses escondidos ahí

Los especialistas de la empresa SentinelOne informaron sobre la detección de nuevos indicios de actividad del software malicioso ZuRu, dirigido a usuarios de macOS. El principal método de distribución es la suplantación de aplicaciones populares bajo macOS, en particular — el disfraz como Termius, una herramienta multiplataforma para la gestión de conexiones SSH.

La primera mención del malware ZuRu apareció en septiembre de 2021 en el recurso chino Zhihu. En ese entonces, el malware se distribuía a través de sitios falsos que reemplazaban los resultados de búsqueda de la aplicación legítima de terminal iTerm2 y ofrecían instaladores falsos. En enero de 2024, el equipo de Jamf Threat Labs descubrió que el malware continuó evolucionando, llegando a los equipos a través de versiones pirateadas de Remote Desktop de Microsoft, SecureCRT y Navicat.

Según el último informe de SentinelOne, una nueva ola de ataques fue detectada en mayo de 2025. El malware se distribuía mediante una imagen .dmg modificada que contenía una versión falsificada de la aplicación Termius. Una característica clave fue que en el paquete Termius Helper.app se integraron dos archivos ejecutables: «.localized» y «.Termius Helper1». El primero actúa como cargador, diseñado para descargar y ejecutar la baliza de control Khepri desde un servidor remoto, y el segundo es una versión falsificada del asistente original de Termius.

Para evadir la protección del sistema macOS, los atacantes eliminaron la firma digital original del desarrollador y la reemplazaron con una firma temporal propia, lo que permitió superar la verificación de autenticidad del código. El enfoque utilizado en esta modificación difiere de los métodos anteriores: si antes se utilizaba la carga de una biblioteca dinámica externa (.dylib) en el archivo ejecutable principal, ahora el malware se incrusta a través de una aplicación auxiliar dentro del paquete legítimo.

El cargador también implementa un mecanismo de persistencia: verifica la existencia del código malicioso en la ruta «/tmp/.fseventsd» y compara el hash del archivo actual con uno de referencia alojado en el servidor. En caso de discrepancia, se descarga automáticamente una nueva versión, lo que asegura tanto la actualización del malware como el control de la integridad del código.

Khepri, utilizado como núcleo de la carga maliciosa, es una poderosa herramienta de acceso remoto. Permite a los atacantes transferir y recibir archivos, analizar las características del sistema, ejecutar procesos arbitrarios y registrar sus resultados. La comunicación con el servidor de control se establece a través del dominio «ctl01.termius[.]fun», y la carga inicial de la baliza se realiza desde «download.termius[.]info».

El equipo de SentinelOne enfatiza que la elección de aplicaciones legítimas y populares entre desarrolladores y especialistas de TI como cobertura sigue siendo una táctica preferida por los creadores de ZuRu. A pesar de los cambios en las técnicas de inyección y evasión de protección, se mantienen enfoques comunes: desde patrones en los nombres de dominio hasta nombres específicos de archivos y esquemas de persistencia. Esto indica la alta efectividad de tales ataques en entornos donde no existe una protección confiable de los endpoints.