Investigadores de ciberseguridad de **Palo Alto Networks Unit 42** han expuesto una sofisticada campaña de malvertising, con nombre en clave **Operación FlutterBridge**, que está propagando activamente un nuevo backdoor para macOS conocido como **FlutterShell**. Esta campaña marca una escalada significativa respecto a actividades previas atribuidas al grupo de amenazas **CL-CRI-1089**, que ha estado activo al menos desde 2023. ## Evolución de la Campaña y Atribución La **Operación FlutterBridge** se identifica como la fase más reciente de un clúster de actividad documentado previamente, **JSCoreRunner** (también conocido como **FileRipple**), reportado por primera vez a finales de agosto de 2025. Las operaciones atribuidas a **CL-CRI-1089** también abarcan campañas como **Recipe Lister** y **Calendaromatic**. Estas se enmarcan dentro de la designación más amplia de **TamperedChef** (o **EvilAI**), una serie continua de campañas que utilizan software de productividad troyanizado para distribuir programas potencialmente no deseados (PUPs) y adware. ## Malvertising y Tácticas Engañosas Los atacantes aprovechan anuncios maliciosos en **Google** y **YouTube**, distribuidos a través de una red de empresas fantasma verificadas por **Google**. Estos anuncios sirven como señuelos, engañando a los usuarios para que descarguen malware disfrazado de aplicaciones de escritorio legítimas. Las empresas fachada identificadas en este esquema incluyen **AdsParkPro LTD**, **Advantage Web Marketing LLC** y **SOFT WE ART LIMITED** (ahora **PACIFIC TRADE SOLUTIONS LTD**). Registros de YouControl y del Companies House del gobierno del Reino Unido sugieren que estas firmas tienen vínculos con individuos ucranianos. Los objetivos principales de estos anuncios engañosos son usuarios de macOS en EE. UU., Canadá, Australia, Francia y Alemania. ## Desglosando las Capacidades de FlutterShell **FlutterShell**, construido con el framework **Flutter**, infecta a los objetivos haciéndose pasar por aplicaciones de escritorio legítimas. **Unit 42** señala que "Además de su funcionalidad de adware, el payload posee capacidades de backdoor, incluyendo la ejecución de comandos de shell y la manipulación del sistema de archivos".  El backdoor soporta la ejecución de comandos arbitrarios, interacción con el sistema de archivos y exfiltración de variables de entorno. Estos esfuerzos se han detectado tan recientemente como marzo de 2026. Alarmantemente, todas las muestras observadas de **FlutterShell** estaban firmadas con **Apple Developer IDs** válidos y pasaron con éxito el proceso de notarización de **Apple**. Esto significa que las verificaciones de seguridad automatizadas de **Apple** no lograron marcarlas como maliciosas en el momento de la presentación, permitiendo que el malware evadiera medidas de seguridad críticas de macOS. Tras la ejecución, **FlutterShell** modifica los archivos de configuración de **Google Chrome**, secuestrando el navegador para forzar todo el tráfico a través de un sitio intermediario controlado por el atacante y lleno de anuncios. ## Arquitectura WebView: Una Amenaza Dinámica Un aspecto técnico clave de **FlutterShell** es su arquitectura basada en WebView, que emplea un puente JavaScript-a-nativo. Este diseño permite a los adversarios alojar lógica maliciosa en un sitio web externo en lugar de incrustarla directamente en el binario de la aplicación. "En una arquitectura basada en WebView, una aplicación nativa utiliza un componente de navegador web incrustado para mostrar contenido", explica **Unit 42**. "El puente JavaScript-a-nativo actúa como un canal de comunicación entre este contenido web y la aplicación nativa anfitriona, permitiéndoles intercambiar datos e invocar funcionalidades de forma cruzada". Este enfoque otorga a los atacantes la capacidad de alterar dinámicamente el comportamiento del malware en tiempo real sin necesidad de recompilar o enviar versiones actualizadas a los hosts comprometidos, lo que hace que la detección y la defensa sean más desafiantes. ## Desarrollo Activo y Amenaza Persistente Los investigadores han identificado tres variantes distintas de **FlutterShell**: **PodcastsLounge**, **PDF-Brain** y **PDF-Ninja**. La presencia de funciones incompletas dentro de la lógica JavaScript alojada en la infraestructura de los atacantes sugiere que el malware está en desarrollo activo. Notablemente, **PDF-Brain** y **PDF-Ninja** presentan una capacidad de resumen impulsada por inteligencia artificial (IA), retransmitiendo documentos a través de un servidor controlado por el atacante para su procesamiento. El malware también realiza huellas digitales del sistema y roba datos de sesión del navegador. Similitudes técnicas, particularmente la arquitectura de código basada en WebView para cambios dinámicos de payload, vinculan **FlutterShell** con **Calendaromatic** y **Recipe Lister**. Además, se ha observado que **Advantage Web Marketing LLC** no solo distribuye anuncios maliciosos, sino que también actúa como firmante de variantes de adware para Windows asociadas con el clúster. **Unit 42** advierte que "La evolución de **JSCoreRunner** a **FlutterShell** representa un aumento significativo en la profundidad técnica para los atacantes detrás de **CL-CRI-1089**". Enfatizan la escala de la red de distribución y el uso de entidades fantasma verificadas para evadir la revisión de las redes publicitarias, destacando el peligro persistente del malvertising. "La coordinación de múltiples entidades fantasma, y el rápido desarrollo y entrega de nuevas variantes de **FlutterShell**, indican que esta campaña está lejos de terminar".