Los piratas informáticos de los estados-nación distribuyen malware desde cadenas de bloques «a prueba de balas»
La creación o modificación de contratos inteligentes suele costar menos de 2 dólares por transacción, lo que supone un enorme ahorro en términos de fondos y mano de obra en comparación con los métodos más tradicionales para distribuir malware.
Además del EtherHiding que Google observó, había una campaña de ingeniería social que utilizaba el reclutamiento para trabajos falsos para atraer objetivos, muchos de los cuales eran desarrolladores de aplicaciones de criptomonedas u otros servicios en línea. Durante el proceso de selección, los candidatos deben realizar una prueba que demuestre sus habilidades de codificación o revisión de códigos. Los archivos necesarios para completar las pruebas contienen código malicioso.
Ilustración del flujo EtherHiding UNC5342.
El proceso de infección se basa en una cadena de malware que se instala por etapas. Las etapas posteriores responsables de ejecutar las cargas útiles finales se instalan a través de contratos inteligentes que los piratas informáticos almacenan en las cadenas de bloques Ethereum y BNB Good Chain, que aceptan cargas de cualquier persona.
Uno de los grupos que observó Google, un equipo respaldado por Corea del Norte rastreado como UNC5342, utiliza malware en etapa anterior rastreado como JadeSnow para recuperar malware en etapa posterior de las cadenas de bloques BNB y Ethereum. Los investigadores de Google observaron:
Es inusual ver a un actor de amenazas utilizar múltiples cadenas de bloques para la actividad de EtherHiding; Esto puede indicar una compartimentación operativa entre equipos de ciberoperadores norcoreanos. Por último, las campañas frecuentemente aprovechan la naturaleza versatile de EtherHiding para actualizar la cadena de infección y cambiar las ubicaciones de entrega de la carga útil. En una transacción, el descargador de JADESNOW puede pasar de buscar una carga útil en Ethereum a buscarla en BNB Good Chain. Este cambio no sólo complica el análisis sino que también aprovecha las tarifas de transacción más bajas que ofrecen las redes alternativas.
Los investigadores dijeron que también observaron a otro grupo, el UNC5142 con motivación financiera, que también empleaba EtherHiding.
La destreza de piratería informática de Corea del Norte alguna vez fue considerada de bajo calibre. Durante la última década, el país ha organizado una serie de campañas de ataque de alto perfil que demuestran habilidades, enfoque y recursos crecientes. Hace dos semanas, la firma de análisis blockchain Elliptic dicho la nación ha robado criptomonedas valoradas en más de 2 mil millones de dólares en lo que va de 2025.
