Volvemos a estar alerta en temas de ciberseguridad. Los piratas informáticos respaldados por el estado de Corea del Norte han estado utilizando una nueva familia de malware para macOS llamada NimDoor en una campaña que apunta a organizaciones web3 y de criptomonedas.
Los investigadores de SentinelOne que analizaron las cargas útiles descubrieron que el atacante se basó en técnicas inusuales y en un mecanismo de persistencia basado en señales nunca antes visto.
Primeros afectados de NimDoor malware
En abril de 2025, Huntabil.IT observó un ataque dirigido a una startup de Web3, atribuyendo el incidente a un grupo de actores de amenazas de la República Popular Democrática de Corea. Varios informes publicados en redes sociales en ese momento describieron incidentes similares en otras organizaciones de Web3 y criptografía. El análisis reveló una cadena de ataque compuesta por una mezcla ecléctica de scripts y binarios escritos en AppleScript, C++ y Nim. Si bien las primeras etapas del ataque siguen un patrón familiar de Corea del Norte mediante ingeniería social, scripts de señuelo y actualizaciones falsas, el uso de binarios compilados en Nim en macOS es una opción más inusual.
Un informe de Huntress a mediados de junio describió una cadena de ataque inicial similar a la observada por Huntabil.IT, aunque con diferentes cargas útiles en etapas posteriores.
El análisis de SentinelLABS de las cargas útiles utilizadas en los incidentes de abril muestra que las etapas de Nim contienen algunas características únicas que incluyen manejo de configuración cifrada, ejecución asincrónica construida alrededor del tiempo de ejecución nativo de Nim y un mecanismo de persistencia basado en señales nunca antes visto en el malware de macOS.
Cómo actúa el malware NimDoor
El malware, denominado NimDoor por los investigadores de seguridad de SentinelOne, representa una evolución significativa en las amenazas de macOS mediante el uso de capacidades de inyección de procesos y comunicaciones WebSocket cifradas para robar credenciales de usuario confidenciales y datos financieros.
La campaña de ataque comienza con un enfoque de ingeniería social familiar , donde los actores de amenazas norcoreanos se hacen pasar por contactos confiables a través de mensajes de Telegram para organizar reuniones comerciales falsas.
Las víctimas reciben invitaciones fraudulentas a reuniones de Zoom acompañadas de instrucciones para descargar y ejecutar un “script de actualización del SDK de Zoom” malicioso desde dominios controlados por el atacante, diseñados para imitar la infraestructura legítima de Zoom, como support.us05web-zoom[.]forum.
El informe es bastante técnico, pero una parte señala que los actores de amenazas de la República Popular Democrática de Corea (RPDC) implementan AppleScripts ampliamente, tanto para obtener acceso inicial como posteriormente en la cadena de ataque, para que funcionen como balizas ligeras y puertas traseras. Un actor de amenazas es cualquier individuo o grupo que intenta dañar intencionalmente sistemas, redes o datos digitales. Pueden ser individuos, organizaciones o incluso estados-nación, y sus motivos varían desde el lucro hasta objetivos políticos o sociales. En esencia, cualquiera que utilice sus habilidades o recursos para llevar a cabo actividades cibernéticas maliciosas se considera un actor de amenazas.
Además, los scripts de bash se utilizan para extraer credenciales de Keychain, datos del navegador y datos de usuarios de Telegram. Un script de bash es un archivo de texto plano que contiene una secuencia de comandos ejecutados por la shell de Bash. Bash (Bourne Again Shell) es un intérprete de línea de comandos utilizado principalmente en sistemas operativos tipo Unix, como Linux y macOS.
La mayoría de los usuarios de Mac no son objetivos. Sin embargo, el informe de SentinelLabs señala que el uso de software basado en Nim junto con AppleScript es un desarrollo relativamente nuevo.
Nim es un lenguaje de programación de sistemas de alto nivel, compilado, estáticamente tipado, multiparadigma y de propósito general. Esta combinación ayuda al malware a evitar la detección y podría eventualmente usarse en un ataque más amplio.
Dentro del informe de SentinelOne, hay un detalle importante:
La segunda cadena de ejecución comienza con el installerBinario, que también es un ejecutable universal Mach-O compilado a partir del código fuente de Nim, responsable de la configuración de la persistencia. Incluye dos binarios adicionales compilados en Nim: GoogIe LLC(donde “Google” se escribe utilizando una “i” mayúscula engañosa en lugar de una “L” minúscula) y CoreKitAgentEstas cargas útiles orquestan mecanismos de acceso y recuperación a largo plazo para el actor de la amenaza.
Primeras conclusiones del equipo de investigación
Según SentinelLABS (el laboratorio de investigación de SentinelOne), el análisis de NimDoor realizado muestra cómo los actores de amenazas continúan explorando lenguajes multiplataforma que introducen nuevos niveles de complejidad para los analistas.
Los actores de amenazas alineados con Corea del Norte han experimentado previamente con Go y Rust, combinando de forma similar scripts y binarios compilados en cadenas de ataque multietapa. Sin embargo, la singular capacidad de Nim para ejecutar funciones durante la compilación permite a los atacantes integrar comportamientos complejos en un binario con un flujo de control menos evidente, lo que resulta en binarios compilados donde el código del desarrollador y el código de ejecución de Nim se entremezclan incluso a nivel de función.
