En septiembre pasado, 9to5Mac compartió detalles exclusivos sobre ModStealer, y Mosyle, como líder en la gestión y seguridad de dispositivos Apple, ha regresado con dos nuevas amenazas de macOS que vuelan completamente bajo el radar.

Según los nuevos detalles compartidos nuevamente con 9to5Mac, el equipo de investigación de seguridad de Mosyle ha identificado dos muestras que no se habían detectado anteriormente: Phoenix Worm, un stager multiplataforma, y ShadeStager, un implante modular diseñado para el robo de credenciales. Aunque estos dos no están directamente relacionados en su funcionamiento, muestran cuán sofisticados se han vuelto los malware para Mac.

La sincronización aquí coincide con lo que el resto de la industria ha visto. Como informé anteriormente, los infostealers y troyanos como Atomic Stealer han sido la historia dominante del malware en Mac en el último año; los atacantes están alejándose de los ataques ruidosos hacia la persistencia. Phoenix Worm y ShadeStager hacen exactamente eso.

Phoenix Worm, un stager oculto

Contrario a su nombre, Phoenix Worm es un verdadero stager. Este software, un malware multiplataforma basado en Golang, ha sido construido para funcionar como un stager. Los stagers pueden definirse básicamente como cargas útiles ligeras diseñadas para proporcionar persistencia y preparar el terreno para una segunda ola de ataque. En lugar de dejar la carga completa desde el principio, primero establece silenciosamente una trampa. Hay muchas ventajas en hacer esto.

Según Mosyle, la funcionalidad básica de Phoenix Worm incluye:

  • Comunicación con un servidor de comando y control (C2) remoto
  • Generación de identificadores únicos para sistemas infectados
  • Transmisión de datos del sistema a los atacantes
  • Soporte para actualizaciones remotas y ejecución de cargas útiles

Phoenix Worm, según la declaración de Mosyle a 9to5Mac, no parece ser una amenaza independiente. Su diseño sugiere fuertemente que es parte de un conjunto más amplio de herramientas destinado a transferir cargas más avanzadas a etapas posteriores de la cadena de ataque.

En el momento del análisis, se informó que ninguna de las variantes de macOS o Linux había sido detectada por ningún motor antivirus, con detección limitada solo en Windows.

ShadeStager, diseñado para el robo de credenciales

ShadeStager es una herramienta de post-explotación diseñada para extraer datos de alto valor de sistemas ya comprometidos. Aunque esto parece ser una coincidencia perfecta con Phoenix Worm, Mosyle señala que estos dos no están relacionados.

De hecho, ShadeStager parece estar enfocado en entornos de desarrollo y en la infraestructura de la nube. Los objetivos específicos incluyen:

  • Claves SSH y hosts conocidos
  • Credenciales de nube de AWS, Azure y GCP
  • Archivos de configuración de Kubernetes
  • Datos de autenticación de Git y Docker
  • Perfiles completos de navegador en los principales navegadores

Además, según Mosyle, ShadeStager realiza una exploración exhaustiva de información sobre el usuario y privilegios en el host, detalles del sistema operativo y hardware, configuración de red y variables de entorno relacionadas con sesiones de nube y SSH. Todo se configura y se exporta a través de HTTPS; viene con soporte para ejecución de comandos, exportación de datos y descarga de archivos.

Curiosamente, ShadeStager no incluye una dirección C2 codificada y algunas partes del código del malware eran visibles para los investigadores de Mosyle sin necesidad de realizar ningún trabajo adicional de ingeniería inversa. Esto sugiere fuertemente que la muestra de malware aún se estaba desarrollando en el momento del descubrimiento.

Resumen

Phoenix Worm y ShadeStager no están relacionados entre sí, pero se basan en el mismo modelo de ataque. Uno proporciona acceso mientras que el otro extrae credenciales y tokens de nube, y no fueron detectados por ningún motor antivirus en el momento del descubrimiento.

En 2026, el malware para Mac se dirige en esta dirección. Los atacantes están programando en lenguajes como Go y Rust para compatibilidad multiplataforma, enviando cargas modulares que separan el acceso inicial de la post-explotación, y configurando dinámicamente la infraestructura C2, de modo que nada estático coincida con una firma. El ejemplo más fácil de mencionar es, sin duda, Atomic Stealer, que se ha convertido en la familia de malware más popular y preocupante. Este y sus variantes han estado funcionando de esta manera durante un tiempo, y se ha visto que el enfoque también aparece en ejemplos irrelevantes.

El antivirus basado en firmas ya no es suficiente. La detección basada en comportamientos y la visibilidad en tiempo real deben ser un requisito fundamental para los administradores y equipos de seguridad que defienden los entornos de macOS hoy en día.

Signos de amenaza

Cuando los administradores de Mac desean agregar estas amenazas a sus herramientas de seguridad, Mosyle ha compartido los siguientes hash SHA256:

  • ShadeStager: 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
  • Phoenix Worm: 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2

Sigue a Arin Waichulis: LinkedIn, Threads, X

Suscríbete al podcast de Seguridad Bite de 9to5Mac para análisis y entrevistas en profundidad con investigadores y expertos en seguridad de Apple:

  • Apple Podcasts
  • Spotify
  • Pocket Casts
  • RSS Feed