Los hackers norcoreanos están utilizando ahora un método basado en blockchain conocido como EtherHiding para distribuir malware y facilitar sus operaciones de robo de criptomonedas. Según los expertos, se descubrió a un hacker norcoreano utilizando este método, donde los atacantes incrustan códigos como cargas útiles de JavaScript dentro de un Smart Contract basado en blockchain.
Usando este método, los hackers convierten el ledger descentralizado en un comando y control (C2) resistente. Según una publicación de blog del Grupo de Inteligencia de Amenazas de Google (GTIG), esta es la primera vez que observan a un actor de esta escala utilizando este método. Afirmaron que usar EtherHiding es conveniente frente a los esfuerzos convencionales de eliminación y bloqueo. El grupo de inteligencia de amenazas mencionó que ha estado rastreando al actor de amenazas UNC5342 desde febrero de 2025, integrando EtherHiding en una campaña de ingeniería social en curso.
Los hackers norcoreanos recurren a EtherHiding
Google mencionó que ha vinculado el uso de EtherHiding a una campaña de ingeniería social rastreada por Palo Alto Networks como Contagious Interview. La Contagious Interview fue llevada a cabo por actores norcoreanos. Según los investigadores de Socket, el grupo expandió su operación con un nuevo cargador de malware, XORIndex. El cargador ha acumulado miles de descargas, siendo los objetivos buscadores de empleo e individuos que se cree poseen activos digitales o credenciales sensibles.
En esta campaña, los hackers norcoreanos utilizan el malware JADESNOW para distribuir una variante JavaScript de INVISIBLEFERRET, que se ha utilizado para llevar a cabo numerosos robos de criptomonedas. La campaña se dirige a desarrolladores en las industrias de cripto y tecnología, robando datos sensibles, activos digitales y obteniendo acceso a redes corporativas. También se centra en una táctica de ingeniería social que copia procesos legítimos de reclutamiento utilizando reclutadores falsos y empresas fabricadas.
Se utilizan reclutadores falsos para atraer a candidatos a plataformas como Telegram o Discord. Después de eso, el malware se entrega a sus sistemas y dispositivos a través de pruebas de codificación falsas o descargas de software disfrazadas como evaluaciones técnicas o correcciones de entrevistas. La campaña utiliza un proceso de infección de malware de múltiples etapas, que generalmente involucra malware como JADESNOW, INVISIBLEFERRET y BEAVERTAIL, para comprometer los dispositivos de la víctima. El malware afecta a sistemas Windows, Linux y macOS.
Los investigadores detallan las desventajas de EtherHiding
EtherHiding proporciona una mejor ventaja a los atacantes, y GTIG señala que actúa como una amenaza particularmente difícil de mitigar. Un elemento central de EtherHiding que preocupa es que es descentralizado por naturaleza. Esto significa que se almacena en una blockchain descentralizada y sin permisos, lo que dificulta que las fuerzas del orden o las empresas de ciberseguridad lo eliminen porque no tiene un servidor central. La identidad del atacante también es difícil de rastrear debido a la naturaleza pseudónima de las transacciones blockchain.
También es difícil eliminar código malicioso en Smart Contracts implementados en la blockchain si no eres el propietario del contrato. El atacante que controla el Smart Contract, en este caso, los hackers norcoreanos, también puede optar por actualizar la carga maliciosa en cualquier momento. Aunque los investigadores de seguridad pueden intentar advertir a la comunidad sobre un contrato malicioso etiquetándolo, esto no impide que los hackers lleven a cabo sus actividades maliciosas utilizando el Smart Contract.
Además, los atacantes pueden recuperar su carga maliciosa utilizando llamadas de solo lectura que no dejan un historial de transacciones visible en la blockchain, lo que dificulta que los investigadores rastreen sus actividades en la blockchain. Según el informe de investigación de amenazas, EtherHiding representa un "cambio hacia el alojamiento a prueba de balas de próxima generación" donde los aspectos más evidentes de la tecnología blockchain están siendo utilizados por estafadores con fines maliciosos.
Únete a una comunidad premium de trading de criptomonedas gratis durante 30 días – normalmente $100/mes.
Fuente: https://www.cryptopolitan.com/north-korean-hackers-crypto-stealing-malware/
