Los hackers norcoreanos utilizan un método basado en blockchain, conocido como EtherHiding, para distribuir malware y facilitar sus operaciones de robo de criptomonedas. Según expertos, se descubrió que un hacker norcoreano utilizaba este método, donde los atacantes incrustaban códigos como cargas útiles de JavaScript dentro de untracinteligente basado en blockchain.
Utilizando este método, los hackers convierten el libro de contabilidad descentralizado en un sistema de comando y control (C2) resiliente. Según una entrada de blog publicada por Google Threat Intelligence Group (GTIG), esta es la primera vez que se observa a un actor de esta escala utilizando este método. Afirmaron que usar EtherHiding resulta conveniente frente a las medidas convencionales de desmantelamiento y bloqueo. El grupo de inteligencia de amenazas mencionó que ha estado tracal actor de amenazas UNC5342 desde febrero de 2025, integrando EtherHiding en una campaña de ingeniería social en curso.
Los piratas informáticos norcoreanos recurren a EtherHiding
Google mencionó que ha vinculado el uso de EtherHiding con una campaña de ingeniería social tracpor Palo Alto Networks bajo el nombre de Contagious Interview. Esta campaña fue llevada a cabo por agentes norcoreanos. Según los investigadores de Socket, el grupo amplió sus operaciones con un nuevo cargador de malware, XORIndex. Este cargador ha acumulado miles de descargas, y sus objetivos son personas que buscan empleo y personas que se cree que poseen activos digitales o credencialesdent.
norcoreanos hackers utilizan el malware JADESNOW para distribuir una variante JavaScript de INVISIBLEFERRET, que se ha empleado para cometer numerosos robos de criptomonedas. La campaña se dirige a desarrolladores de las industrias de las criptomonedas y la tecnología, robando datos confidenciales, activos digitales y obteniendo acceso a redes corporativas. También se centra en una táctica de ingeniería social que copia procesos de reclutamiento legítimos utilizando reclutadores falsos y empresas falsas.
Se utilizan reclutadores falsos para atraer candidatos a plataformas como Telegram o Discord. Posteriormente, el malware se distribuye a sus sistemas y dispositivos mediante pruebas de programación falsas o descargas de software camufladas como evaluaciones técnicas o correcciones de entrevistas. La campaña utiliza un proceso de infección de malware de varias etapas, que suele incluir malware como JADESNOW, INVISIBLEFERRET y BEAVERTAIL, para comprometer los dispositivos de las víctimas. El malware afecta a sistemas Windows, Linux y macOS.
Los investigadores detallan las desventajas de EtherHiding
EtherHiding ofrece una ventaja considerable a los atacantes, y GTIG señala que representa una amenaza particularmente difícil de mitigar. Un aspecto fundamental de EtherHiding que genera preocupación es su naturaleza descentralizada. Esto significa que se almacena en una cadena de bloques descentralizada y sin permisos, lo que dificulta su eliminación por parte de las fuerzas del orden o las empresas de ciberseguridad, ya que carece de un servidor central. La identidaddenttractrac tractractractrac tractracdebido al carácter seudónimo de las en la cadena de bloques .
También es difícil eliminar código malicioso entracinteligentes implementados en la cadena de bloques si no se es el propietario deltrac. El atacante que controla eltracinteligente, en este caso, los hackers norcoreanos, también puede optar por actualizar la carga maliciosa en cualquier momento. Si bien los investigadores de seguridad pueden intentar advertir a la comunidad sobre untracmalicioso etiquetándolo, esto no impide que los hackers lleven a cabo sus actividades maliciosas utilizando eltracinteligente.
Además, los atacantes pueden recuperar su carga maliciosa mediante llamadas de solo lectura que no dejan un historial de transacciones visible en la cadena de bloques, lo que dificulta a los investigadores tracsus actividades en ella. Según el informe de investigación de amenazas, EtherHiding representa un cambio hacia un alojamiento web a prueba de balas de última generación, donde los estafadores utilizan las características más evidentes de la tecnología blockchain con fines maliciosos.
