Después de compartir los detalles exclusivamente con 9to5Mac en septiembre pasado en ModStealer, un ladrón de información multiplataforma invisible para los principales motores antivirus de la época, Mosilelíder en gestión y seguridad de dispositivos Apple, vuelve con dos amenazas más para macOS que pasan completamente desapercibidas.
En nuevos detalles compartidos nuevamente con 9to5MacEl equipo de investigación de seguridad de Mosyle afirma haber identificado dos muestras no detectadas previamente: Phoenix Worm, un stager multiplataforma, y ShadeStager, un implante modular de macOS diseñado para el robo de credenciales. Los dos no están directamente relacionados en su funcionamiento, pero juntos muestran cuán sofisticado se está volviendo el malware para Mac.
El momento aquí coincide con lo que ha visto el resto de la industria. Como informé anteriormente, los ladrones de información y troyanos como Atomic Stealer han sido el principal malware en Mac durante el año pasado, a medida que los atacantes se alejan de los ruidosos ataques smash and grab y se acercan a la persistencia. Phoenix Worm y ShadeStager son exactamente eso.
Phoenix Worm, un escenario sigiloso
Al contrario de su nombre, Pheonix Worm es exactamente el protagonista aquí. Es un malware multiplataforma basado en Golang, diseñado para actuar como intermediario. Los stagers son esencialmente cargas útiles iniciales livianas que establecen persistencia y se preparan para una segunda ola de ataques. En lugar de dejar caer toda la carga útil de inmediato, primero logra un punto de apoyo silencioso. Esto tiene muchas ventajas.
De acuerdo a MosileLas principales características de Phoenix Worm incluyen:
- Establecer comunicación con un servidor de comando y control remoto (C2)
- Generar identificadores únicos para sistemas infectados.
- Transmisión de datos del sistema a atacantes.
- Soporte para actualizaciones remotas y ejecución de cargas útiles adicionales
Phoenix Worm tampoco parece ser una amenaza independiente, dijo Mosyle. 9to5Mac. Su diseño sugiere fuertemente que es parte de un conjunto de herramientas más grande, destinado a traspasar la ejecución a cargas útiles más avanzadas más abajo en la cadena de ataque.
En el momento del escaneo, ningún motor antivirus detectó variantes de macOS o Linux, con detección limitada en Windows.
ShadeStager, diseñado para el robo de credenciales
De hecho, ShadeStager parece estar dirigido a entornos de desarrollo e infraestructura de nube. Tiene como objetivo específico:
- Claves SSH y hosts conocidos
- Credenciales en la nube de AWS, Azure y GCP
- Archivos de configuración de Kubernetes
- Datos de autenticación de Git y Docker
- Perfiles de navegador completos en los principales navegadores
También realiza un reconocimiento profundo del host, extrayendo información de usuarios y privilegios, detalles del sistema operativo y hardware, configuración de red y variables de entorno relacionadas con la nube y las sesiones SSH, según Mosyle. Todo está estructurado y filtrado a través de HTTPS, con soporte para ejecución de comandos, filtrado de datos y carga de archivos.
Curiosamente, ShadeStager no incluye una dirección C2 codificada y partes del código de malware eran visibles para los investigadores de Mosyle sin la necesidad de realizar trabajos adicionales de ingeniería inversa binaria. Esto sugiere fuertemente que la muestra de malware todavía estaba en desarrollo en el momento de su descubrimiento.
TL;DR
Phoenix Worm y ShadeStager no están conectados, pero se basan en el mismo modelo de ataque que vemos cada vez más. Uno establece el acceso, el otro extrae credenciales y tokens de nube, y ninguno de los dos fue detectado por un solo motor antivirus en el momento del descubrimiento.
Esta es la dirección en la que ha evolucionado el malware de Mac en 2026. Los atacantes escriben en Go y Rust para lograr compatibilidad entre plataformas, envían cargas útiles modulares que separan el acceso inicial del posterior a la explotación y configuran la infraestructura C2 dinámicamente para que nada estático coincida con una firma. El ejemplo más simple que puedo citar es Atomic Stealer, que sin duda se está convirtiendo en la familia de malware más popular y preocupante en general. Este sistema y sus variaciones han estado funcionando de esta manera durante algún tiempo, y este enfoque parece aparecer en muestras no relacionadas.
Los antivirus basados en firmas ya no son suficientes. La detección de comportamiento y la visibilidad en tiempo real deberían ser la base para los administradores y equipos de seguridad que defienden los entornos macOS en la actualidad.
Indicadores de compromiso
Para los administradores de Mac que buscan agregar estas amenazas a sus herramientas de seguridad, Mosyle compartió los siguientes hashes SHA256:
- Etapa de sombra: 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
- Gusano Fénix: 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2
Siga a Arin Waichulis: LinkedIn, Temas, incógnita
Suscríbase al podcast 9to5Mac Security Bite para obtener revisiones y entrevistas en profundidad quincenales con los principales investigadores y expertos en seguridad de Apple:
FTC: utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
