Hubo WeaponX en 2004, incluso hay una guía aquí sobre cómo desarrollar uno mismo. Dado que OSX es una combinación de Mach y BSD, ha habido rootkits especialmente desarrollados para apuntar al lado de Mach o Unix o ambos.
Uso Rkhunter en mis máquinas Unix, también hay una versión para OSX, así que sugiero que echen un vistazo a eso.
El problema con un rootkit es que hay muchos lugares a los que puede esconderse, además de que a menudo están diseñados para ser muy difíciles de detectar. Pueden proporcionar información de proceso falsa.
Yo nunca he escrito uno, pero rkhunter es de código abierto, así que te sugiero que empieces allí.
Además, si no me equivoco (pero no estoy seguro), hace hashes MD5 de sus binarios y módulos del kernel y luego los verifica de vez en cuando. Te notifica lo que ha cambiado. Podría ser que hiciste una actualización. Si no es así, es posible que desee ver por qué se cambió ese binario.