Cuatro años bajo la mirada de Apple: peligrosa puerta trasera permaneció en macOS con firma oficia
ChillyHell sigue en auge y continúa complicando la vida de usuarios en todo el mundo.
Investigadores informaron sobre un nuevo repunte de la actividad ChillyHell — un backdoor modular para macOS que se consideraba inactivo desde hace tiempo, pero que, al parecer, infectó equipos durante varios años sin ser detectado. Una muestra del programa fue hallada en mayo de 2025 en el servicio VirusTotal, aunque rastros de su actividad datan al menos de 2021.
ChillyHell está escrito en C++ y diseñado para arquitecturas Intel. Fue analizado por primera vez por miembros del equipo Mandiant en 2023, cuando vincularon el backdoor con el grupo UNC4487. Este grupo comprometió un sitio ucraniano de seguros de automóviles que utilizaban funcionarios estatales para gestionar viajes. A pesar de la publicación de Mandiant, la muestra en ese momento no fue catalogada como maliciosa, lo que le permitió seguir propagándose sin ser detectada por los antivirus.
El hecho más preocupante es que la muestra encontrada estaba firmada por el desarrollador y pasó por la notarización de Apple ya en 2021. Investigadores de Jamf Threat Labs, Ferdous Saljuki y Maggie Zirnhelt, señalaron que la funcionalidad de la versión coincide casi por completo con la de la muestra descrita anteriormente. Además, el archivo estuvo disponible durante cuatro años en una carpeta pública de Dropbox y podía infectar sistemas, permaneciendo en la categoría de confianza.
No se sabe cuán ampliamente se propagó ChillyHell. Según el director de Jamf Threat Labs, Jaron Bradley, «es imposible decir» cuántos sistemas resultaron afectados. Por la arquitectura del backdoor, los analistas tienden a considerar que fue creado por un grupo de ciberdelincuentes y se empleó en ataques más dirigidos, no de forma masiva. Apple ya ha revocado los certificados de desarrollador relacionados con ChillyHell.
El backdoor tiene tres mecanismos de persistencia en el sistema. Si el programa se ejecuta con privilegios de usuario, se registra como LaunchAgent; con privilegios elevados se registra como LaunchDaemon. Además, se usa un método de reserva: la modificación de los archivos de configuración de shell del usuario (.zshrc, .bash_profile o .profile), donde se inserta un comando de inicio automático, lo que hace que ChillyHell se active en cada nueva sesión de terminal.
Para ocultarse se emplea una táctica poco común en macOS: timestomping, cuando los archivos maliciosos reciben marcas de tiempo que coinciden con objetos legítimos para no destacar entre ellos. Además, ChillyHell alterna entre distintos protocolos de comando y control, lo que complica considerablemente su detección.
La arquitectura modular permite a los atacantes ampliar de forma flexible la funcionalidad tras la intrusión. El backdoor puede descargar nuevas versiones de sí mismo, instalar componentes adicionales, realizar ataques por fuerza bruta de contraseñas, guardar nombres de usuarios locales para futuros intentos de intrusión, así como iniciar el robo de credenciales. Este conjunto lo convierte en una plataforma conveniente para ataques posteriores y para una presencia a largo plazo en el sistema.
Los investigadores subrayan que la combinación de mecanismos de persistencia, la diversidad de protocolos de comunicación y la construcción modular convierten a ChillyHell en una herramienta extremadamente flexible. Se destaca también el hecho de que pasó por el proceso de notarización de Apple, un recordatorio claro de que el software malicioso no siempre viene sin firma.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!