Des pirates informatiques nord-coréens utilisent désormais une méthode basée sur la blockchain, appelée EtherHiding, pour diffuser des logiciels malveillants et faciliter leurs opérations de vol de cryptomonnaies. Selon des experts, un pirate nord-coréen a été découvert utilisant cette méthode, qui consiste à intégrer des codes tels que des charges utiles JavaScript dans untracintelligent basé sur la blockchain.
Grâce à cette méthode, les pirates transforment le registre décentralisé en un système de commande et de contrôle (C2) résilient. D'après un article de blog publié par le Google Threat Intelligence Group (GTIG), c'est la première fois qu'un acteur de cette envergure utilise cette technique. Le GTIG affirme qu'EtherHiding est particulièrement efficace pour contrer les méthodes classiques de démantèlement et de blocage. Le groupe de veille sur les menaces indique tracl'acteur UNC5342 depuis février 2025, ce dernier ayant intégré EtherHiding à une campagne d'ingénierie sociale en cours.
Des pirates informatiques nord-coréens se tournent vers EtherHiding
Google a indiqué avoir établi un lien entre l'utilisation d'EtherHiding et une campagne d'ingénierie sociale tracpar Palo Alto Networks sous le nom de Contagious Interview. Cette campagne a été menée par des acteurs nord-coréens. Selon les chercheurs de Socket, le groupe a étendu ses opérations avec un nouveau programme d'installation de logiciels malveillants, XORIndex. Ce programme a été téléchargé des milliers de fois, ciblant principalement des demandeurs d'emploi et des personnes soupçonnées de posséder des actifs numériques ou des identifiantsdent.
Dans cette campagne, des pirates informatiques utilisent le logiciel malveillant JADESNOW pour diffuser une variante JavaScript d'INVISIBLEFERRET, un logiciel malveillant ayant servi à perpétrer de nombreux vols de cryptomonnaies. La campagne cible les développeurs des secteurs des cryptomonnaies et des technologies, dans le but de dérober des données sensibles, des actifs numériques et d'accéder aux réseaux d'entreprise. Elle repose également sur une technique d'ingénierie sociale consistant à imiter des processus de recrutement légitimes en utilisant de faux recruteurs et de fausses entreprises.
De faux recruteurs sont utilisés pour attirer les candidats sur des plateformes comme Telegram ou Discord. Un logiciel malveillant est ensuite installé sur leurs systèmes et appareils via de faux tests de programmation ou des téléchargements de logiciels présentés comme des évaluations techniques ou des exercices de préparation aux entretiens. Cette campagne utilise un processus d'infection en plusieurs étapes, impliquant généralement des logiciels malveillants tels que JADESNOW, INVISIBLEFERRET et BEAVERTAIL, afin de compromettre les appareils des victimes. Ce logiciel malveillant affecte les systèmes Windows, Linux et macOS.
Des chercheurs détaillent les inconvénients d'EtherHiding
EtherHiding offre un avantage certain aux attaquants, et GTIG souligne qu'il représente une menace particulièrement difficile à contrer. L'un des aspects les plus préoccupants d'EtherHiding est sa nature décentralisée. En effet, les données sont stockées sur une blockchain décentralisée et sans autorisation, ce qui complique leur neutralisation par les forces de l'ordre et les entreprises de cybersécurité, en l'absence de serveur central. De plus, l'identitédenttractrac tractractractrac tractracgrâce à la pseudonymisation des blockchain .
Il est également difficile de supprimer un code malveillant danstractracintelligents déployés sur la blockchain si l'on n'en est pas le propriétaire. L'attaquant qui contrôle letracintelligent, en l'occurrence les pirates nord-coréens, peut également modifier le code malveillant à tout moment. Bien que les chercheurs en sécurité puissent tenter d'alerter la communauté en signalant untracmalveillant, cela n'empêche pas les pirates de mener leurs activités malveillantes via cetrac.
De plus, les attaquants peuvent récupérer leur charge utile malveillante via des requêtes en lecture seule qui ne laissent aucune trace dans l'historique des transactions sur la blockchain, ce qui complique la tâche des chercheurs qui tentent de tracleurs activités. Selon le rapport d'analyse des menaces, EtherHiding représente une « évolution vers un hébergement ultra-sécurisé de nouvelle génération », où les failles les plus flagrantes de la technologie blockchain sont exploitées par les escrocs à des fins malveillantes.
