Al menos dos organizaciones de hackers distintas, incluida una Actor norcoreano vinculado al Estado y un grupo criminal con motivación financieraestán aprovechando las cadenas de bloques públicas para ocultar y gestionar malware, según una investigación del Threat Intelligence Group de Google. Este método hace que sus operaciones sean altamente resistentes a los esfuerzos de derribo convencionales. La técnica, que los investigadores denominaron EtherHiding, altera fundamentalmente la forma en que los atacantes administran e implementan códigos maliciosos al incorporar instrucciones dentro de contratos inteligentes en cadenas de bloques públicas en lugar de depender de servidores de comando y control convencionales. Este enfoque aprovecha las características descentralizadas e inmutables de la tecnología blockchain para crear lo que la investigación describe como una infraestructura «a prueba de balas». Robert Wallace, líder de consultoría en Mandiant, parte de Google Cloud, caracterizó el desarrollo como una «escalada en el panorama de amenazas». Señaló que los piratas informáticos han desarrollado un método que es «resistente a los ataques de las fuerzas del orden» y puede «modificarse fácilmente para nuevas campañas». El diseño central de la cadena de bloques garantiza que una vez que se registran los datos, no se puedan alterar ni eliminar, lo que proporciona a los atacantes una plataforma persistente y confiable para sus operaciones que no está sujeta a los típicos procedimientos de eliminación dirigidos a servidores centralizados. EtherHiding se observó por primera vez en 2023 durante una campaña conocida como ClearFake, donde los ciberdelincuentes con motivaciones financieras utilizaron mensajes falsos de actualización del navegador para atraer a las víctimas. El concepto subyacente implica almacenar código o comandos maliciosos dentro de una transacción blockchain o, más comúnmente, un contrato inteligente. Luego, los atacantes recuperan esta información mediante llamadas de solo lectura a la cadena de bloques. Debido a que estas llamadas no escriben datos nuevos ni transfieren activos, no crean transacciones visibles en el libro público. Este sigilo permite que el malware reciba instrucciones sin dejar un rastro claro para los analistas de seguridad. Como resultado, los defensores no pueden depender de los indicadores tradicionales de compromiso, como dominios maliciosos o direcciones IP, que son fundamentales para la detección y el bloqueo de amenazas convencionales. El informe afirma que mientras la cadena de bloques siga operativa, el «código malicioso seguirá siendo accesible». Los investigadores identificaron que los dos grupos adaptaron EtherHiding para diferentes objetivos. El grupo afiliado a Corea del Norte, identificado como UNC5342, incorpora la técnica en sofisticadas campañas de ingeniería social diseñadas para infiltrarse en las redes de desarrolladores y empresas de criptomonedas. Por el contrario, el grupo UNC5142, impulsado financieramente, emplea EtherHiding para facilitar la distribución generalizada de malware que roba información al comprometer una gran cantidad de sitios web de WordPress. El grupo de amenazas norcoreano UNC5342 integró la técnica EtherHiding en una operación más amplia que Redes de Palo Alto anteriormente denominada campaña de Entrevista Contagiosa. Esta campaña implica tácticas de ingeniería social en las que los atacantes se hacen pasar por reclutadores en sitios de redes profesionales como LinkedIn y varias bolsas de trabajo. Se acercan a los desarrolladores de software con ofertas de trabajo fraudulentas de empresas falsas, siendo «BlockNovas LLC» y «Angeloper Agency» dos ejemplos de los nombres de empresas falsos utilizados. Los atacantes pretenden establecer una relación con sus objetivos antes de pasarlos a la siguiente etapa del ataque. Después de establecer el contacto inicial, los actores detrás de UNC5342 atraerían a los desarrolladores objetivo a entrevistas programadas realizadas en aplicaciones de mensajería cifradas como Telegram y Discord. Durante lo que se presentó como una evaluación técnica o un desafío de codificación, las víctimas recibieron instrucciones de descargar y ejecutar archivos desde repositorios públicos en GitHub o npm. Estos archivos pretendían ser parte del proceso de entrevista, pero secretamente contenían cargas útiles de malware. Las principales familias de malware identificadas en esta campaña son JadeSnow, un descargador, e InvisibleFerret, una puerta trasera. Ambas herramientas maliciosas están diseñadas para utilizar EtherHiding para sus comunicaciones de comando y control, conectándose a contratos inteligentes controlados por atacantes implementados en las redes Ethereum y BNB Smart Chain para recibir instrucciones. La cadena de infección iniciada por UNC5342 es metódica. El descargador JadeSnow es el primer componente que se ejecuta en el sistema de la víctima. Está programado para consultar contratos inteligentes específicos en la cadena de bloques para recuperar cargas útiles de JavaScript cifradas. Estas cargas útiles, una vez descifradas, son responsables de entregar la puerta trasera principal, InvisibleFerret. Una vez que el malware InvisibleFerret está instalado y activo en una máquina comprometida, otorga a los atacantes una amplia gama de capacidades. Estos incluyen la capacidad de filtrar datos confidenciales, capturar credenciales de usuario y ejercer control remoto sobre el sistema infectado. En algunos casos observados, los investigadores notaron que InvisibleFerret implementó un módulo adicional de robo de credenciales diseñado específicamente para apuntar a navegadores web y billeteras de criptomonedas populares como MetaMask y Phantom. Los datos robados a través de estas actividades luego se filtran a servidores controlados por atacantes y también se envían a canales privados de Telegram. La campaña tiene un doble propósito para el régimen norcoreano: generar ingresos ilícitos mediante el robo de criptomonedas y recopilar inteligencia estratégica de los desarrolladores comprometidos y sus empleadores. En una investigación separada, Google Mandiant detalló las actividades de UNC5142, un actor de amenazas con motivación financiera que también depende de EtherHiding. El objetivo principal de este grupo es infectar una gran cantidad de sitios web para distribuir varias familias de malware que roba información. El método del grupo implica comprometer sitios de WordPress que tienen vulnerabilidades de seguridad e inyectarles descargadores de JavaScript maliciosos, que se denominan colectivamente ClearShort. Estos scripts están diseñados para utilizar contratos inteligentes en BNB Smart Chain como una capa de control resistente, recuperando cargas útiles de segunda etapa o redirigiendo a las víctimas a páginas de destino alojadas por el atacante. La infraestructura operativa de UNC5142 se destaca por su uso extensivo de servicios legítimos para enmascarar sus actividades maliciosas. El grupo aloja sus páginas de destino maliciosas en el servicio pages.dev de Cloudflare, lo que hace que el tráfico parezca más legítimo, mientras que la información central de comando y control se almacena en la cadena de bloques. A mediados de 2025, el equipo de Google había identificado rastros de los scripts inyectados de UNC5142 en aproximadamente 14.000 sitios web distintos. La arquitectura del grupo también evolucionó, pasando de un único contrato inteligente a un sistema más complejo de tres niveles que imita un «patrón de proxy» de software. Esta estructura avanzada consta de un contrato de enrutador que dirige el tráfico, un contrato de toma de huellas digitales para perfilar el sistema de la víctima y un contrato de carga útil que almacena datos cifrados y claves de descifrado. Este diseño permite a los atacantes actualizar su infraestructura, como URL de señuelo o claves de cifrado, en miles de sitios infectados simultáneamente a través de una única transacción de blockchain, que puede costar tan solo un dólar en tarifas de red. Para entregar sus cargas útiles finales, UNC5142 emplea tácticas de ingeniería social, como mostrar páginas de verificación de Cloudflare falsas o mensajes fraudulentos de actualización del navegador Chrome. Estos señuelos están diseñados para persuadir a las víctimas a ejecutar comandos maliciosos, generalmente ocultos dentro de lo que parece ser una acción legítima. La ejecución exitosa conduce a la entrega de potentes ladrones de información, incluidos Vidar, Lummac.V2 y RadThief. Las campañas del grupo demuestran una clara progresión en la sofisticación técnica, con un movimiento hacia estándares de cifrado más sólidos como AES-GCM y técnicas de ofuscación más avanzadas. En un ejemplo documentado, el JavaScript del atacante obtuvo HTML cifrado de Cloudflare, que luego fue descifrado en el lado del cliente. Esta página descifrada solicitaba al usuario que ejecutara un comando oculto de PowerShell que descargaba la carga útil final, a menudo disfrazada de un archivo multimedia benigno. El análisis de las transacciones de blockchain reveló que UNC5142 mantenía al menos dos infraestructuras paralelas, que los investigadores denominaron Principal y Secundaria. Ambos utilizaron un código de contrato inteligente idéntico y fueron financiados por billeteras de criptomonedas vinculadas a través del intercambio OKX. Se observó que los atacantes actualizaban ambas infraestructuras con unos minutos de diferencia, una acción que sugiere fuertemente un control coordinado por parte de un único actor organizado. La investigación destaca que ni UNC5342 ni UNC5142 interactúan directamente con los nodos de blockchain. En cambio, dependen de servicios centralizados, como puntos finales públicos de llamada a procedimiento remoto (RPC) o proveedores de API de terceros, para recuperar datos de la cadena de bloques. Esta dependencia crea lo que los investigadores llaman “puntos de observación y control”, donde los defensores o los proveedores de servicios podrían potencialmente intervenir. En el caso de UNC5342, los investigadores se pusieron en contacto con varios proveedores de API que se estaban utilizando en la campaña. La respuesta fue inconsistente; Si bien algunos proveedores actuaron rápidamente para bloquear la actividad maliciosa, otros no. Esta cooperación desigual, dijeron los investigadores, «aumenta el riesgo de que esta técnica prolifere entre los actores de amenazas». La naturaleza inherente de los contratos inteligentes plantea un desafío importante, ya que son públicos e inmutables. Una vez implementado, los equipos de seguridad no pueden eliminar ni bloquear su código, incluso si está marcado como malicioso. Los filtros de seguridad basados en red, que están diseñados para patrones de tráfico web tradicionales, tienen dificultades para analizar y bloquear de manera efectiva los patrones descentralizados asociados con las tecnologías Web3. El anonimato que ofrecen las direcciones de billeteras de criptomonedas, combinado con el costo extremadamente bajo de las transacciones de blockchain, permite a los actores de amenazas repetir sus tácticas rápidamente y mantener campañas indefinidamente. Los investigadores estimaron que para UNC5142, actualizar toda una cadena de entrega de malware cuesta entre 25 centavos y 1,50 dólares por transacción, lo que brinda a estos atacantes una agilidad operativa que supera la infraestructura convencional.
