SentinelLabs, la rama de investigación de SentinelOne, ha descubierto una puerta trasera para macOS vinculada a Corea del Norte que oculta una inyección directa dirigida a las herramientas de IA de los analistas de malware, en lugar de al entorno aislado que las analiza: macOS.Gaslight.
La empresa de seguridad afirmó que el implante Rust contenía 38 mensajes del sistema fabricados, diseñados para sabotear el sistema de triaje asistido por IA.
Detección del backdoor
A principios de junio, una actualización de Apple XProtect reveló una muestra de Mach-O que había sido subida a VirusTotal el 22 de mayo. La regla de XProtect se centra exclusivamente en el hash del archivo, en lugar de en cadenas internas o código de bytes.
XProtect de Apple detecta la muestra bajo la regla MACOS_BONZAI_COBUCH, y SentinelLABS asocia la familia de firmas BONZAI con la actividad de amenazas norcoreanas. Una muestra BONZAI similar también es detectada por la regla AIRPIE de Apple, una familia que SentinelLabs también vincula con la actividad norcoreana.
El malware lleva mucho tiempo intentando detectar cuándo se ejecuta dentro de un entorno aislado (sandbox) o en la máquina virtual de un investigador.
Esta muestra, en cambio, atacó las herramientas del investigador. La empresa afirmó que contenía un bloque de mensajes falsos del sistema, delimitado por Markdown y diseñado para imitar la estructura interna de una herramienta de triaje de IA.
Los mensajes falsificados advertían sobre la caducidad del token, errores de memoria y disco, fallos repetidos y supuestas vulnerabilidades de inyección. El objetivo era forzar al agente de IA a abortar o rechazar su análisis.
Las versiones anteriores de este truco utilizaban un único bloque inyectado, según SentinelLabs, que cita trabajos previos de Check Point y otros desde 2025. Esta muestra apiló 38 bloques en cascada.
Una API de bots de Telegram
Detrás de la inyección se escondía un completo programa de robo de información y una puerta trasera. Los investigadores afirmaron que el implante ofrecía al usuario una interfaz interactiva y estaba diseñado para obtener datos de navegación de Chrome, Brave, Firefox y Safari, historiales de terminal, listas de aplicaciones instaladas y una copia del llavero de inicio de sesión de macOS. Gran parte de esta recopilación se realizaba mediante un módulo de Python que el malware podía ejecutar bajo demanda.
Para permanecer oculto durante la transmisión, el canal de comandos del malware utilizó la API de bots de Telegram, con el tráfico cifrado y protegido mediante la fijación de certificados para eludir la inspección de la red.
SentinelLabs identificó dos características que consideró novedosas. El malware podía extraer un intérprete de Python independiente de un proyecto público de código abierto durante su ejecución. Además, estaba diseñado para eliminar su propio token de bot de Telegram de cualquier registro o información de fallos, lo que impedía a los defensores obtener una pista clave para su detección.
La atribución fue posible en parte gracias a XProtect, la propia herramienta de Apple, que marcó el archivo bajo una familia de firmas que la empresa ha vinculado con operadores norcoreanos.
Añadió que la mayor parte de la técnica empleada en el implante era familiar; lo que destacaba era la rapidez de la inyección.
«Quienes desarrollen este tipo de herramientas deben tratar el contenido de las muestras que analizan como información maliciosa, nunca como instrucciones, y estar preparados para excluir por completo el contenido hostil del modelo», escribió SentinelLabs. «A medida que el análisis asistido por LLM se convierta en algo habitual, los defensores deben esperar que se creen más muestras para explotarlo».
