Un actor de amenazas motivado financieramente con nombre en código UNC5142 Se ha observado que abusa de los contratos inteligentes de blockchain como una forma de facilitar la distribución de ladrones de información, como Atomic (AMOS), Lumma, Rhadamanthys (también conocido como RADTHIEF) y Vidar, dirigidos a sistemas Windows y Apple macOS.
«UNC5142 se caracteriza por su uso de sitios web de WordPress comprometidos y 'EtherHiding', una técnica utilizada para ocultar códigos o datos maliciosos colocándolos en una cadena de bloques pública, como BNB Smart Chain», Google Threat Intelligence Group (GTIG) dicho en un informe compartido con The Hacker News.
En junio de 2025, Google dijo que había marcado alrededor de 14.000 páginas web que contenían JavaScript inyectado y que mostraban un comportamiento asociado con un UNC5142, lo que indica un ataque indiscriminado a sitios vulnerables de WordPress. Sin embargo, el gigante tecnológico señaló que no ha detectado ninguna actividad UNC5142 desde el 23 de julio de 2025, lo que indica una pausa o un giro operativo.
EtherHiding fue documentado por primera vez por Guardio Labs en octubre de 2023, cuando detalló ataques que implicaban servir código malicioso mediante el uso de contratos Smart Chain (BSC) de Binance a través de sitios infectados que mostraban advertencias falsas de actualización del navegador.
Un aspecto crucial que sustenta las cadenas de ataque es un descargador de JavaScript de varias etapas denominado CLEARSHORT que permite la distribución del malware a través de los sitios pirateados. La primera etapa es un malware JavaScript que se inserta en los sitios web para recuperar la segunda etapa interactuando con un contrato inteligente malicioso almacenado en la cadena de bloques BNB Smart Chain (BSC). La primera etapa del malware se agrega a archivos relacionados con complementos, archivos de temas y, en algunos casos, incluso directamente a la base de datos de WordPress.
El contrato inteligente, por su parte, se encarga de buscar una página de destino CLEARSHORT desde un servidor externo que, a su vez, emplea el Hacer clic en arreglar Táctica de ingeniería social para engañar a las víctimas para que ejecuten comandos maliciosos en el cuadro de diálogo Ejecutar de Windows (o la aplicación Terminal en Mac), infectando finalmente el sistema con malware ladrón. Las páginas de destino, normalmente alojadas en una página .dev de Cloudflare, se recuperan en un formato cifrado a partir de diciembre de 2024.
 |
| CLEARSHORT cadena de infección |
En los sistemas Windows, el comando malicioso implica la ejecución de un archivo de aplicación HTML (HTA) descargado desde una URL de MediaFire, que luego suelta un script de PowerShell para eludir las defensas, recupera la carga útil final cifrada de GitHub o MediaFire, o de su propia infraestructura en algunos casos, y ejecuta el ladrón directamente en la memoria sin escribir el artefacto en el disco.
En ataques dirigidos a macOS en febrero y abril de 2025, se descubrió que los atacantes utilizaban señuelos ClickFix para solicitar al usuario que ejecutara un comando bash en la Terminal que recuperaba un script de shell. Posteriormente, el script utiliza el comando curl para obtener la carga útil de Atomic Stealer del servidor remoto.
 |
| Distribución final de carga útil UNC5142 a lo largo del tiempo |
CLEARSHORT se considera una variante de clarofalsoque fue objeto de un análisis exhaustivo por parte de la empresa francesa de ciberseguridad Sekoia en marzo de 2025. ClearFake es un marco de JavaScript fraudulento implementado en sitios web comprometidos para distribuir malware a través de la técnica de descarga no autorizada. Se sabe que está activo desde julio de 2023, y los ataques adoptaron ClickFix alrededor de mayo de 2024.
El abuso de blockchain ofrece varias ventajas, ya que la técnica inteligente no solo se integra con la actividad legítima de Web3, sino que también aumenta la resiliencia de las operaciones de UNC5142 contra los esfuerzos de detección y eliminación.
Google dijo que las campañas del actor de amenazas han sido testigos de una evolución considerable durante el año pasado, pasando de un sistema de contrato único a un sistema más sofisticado de tres contratos inteligentes a partir de noviembre de 2024 para una mayor agilidad operativa, y se observaron más mejoras a principios de enero.
«Esta nueva arquitectura es una adaptación de un principio legítimo de diseño de software conocido como patrón proxy, que los desarrolladores utilizan para hacer que sus contratos sean actualizables», explicó.
«La configuración funciona como una arquitectura Router-Logic-Storage altamente eficiente donde cada contrato tiene un trabajo específico. Este diseño permite actualizaciones rápidas de partes críticas del ataque, como la URL de la página de destino o la clave de descifrado, sin necesidad de modificar el JavaScript en los sitios web comprometidos. Como resultado, las campañas son mucho más ágiles y resistentes a las eliminaciones».
UNC5142 logra esto aprovechando la naturaleza mutable de los datos de un contrato inteligente (vale la pena señalar que el código del programa es inmutable una vez que se implementa) para alterar la URL de la carga útil, lo que les cuesta entre $0,25 y $1,50 en tarifas de red para realizar estas actualizaciones.
Un análisis más detallado ha determinado el uso por parte del actor de amenazas de dos conjuntos distintos de infraestructuras de contratos inteligentes para entregar malware ladrón a través del descargador CLEARSHORT. Se dice que la infraestructura principal se creó el 24 de noviembre de 2024, mientras que la infraestructura secundaria paralela se financió el 18 de febrero de 2025.
«La infraestructura principal se destaca como la infraestructura central de la campaña, marcada por su creación temprana y un flujo constante de actualizaciones», dijo GTIG. «La infraestructura secundaria aparece como un despliegue paralelo, más táctico, probablemente establecido para apoyar un aumento específico en la actividad de campaña, probar nuevos señuelos o simplemente desarrollar resiliencia operativa».
«Dadas las frecuentes actualizaciones de la cadena de infección junto con el ritmo operativo constante, el alto volumen de sitios web comprometidos y la diversidad de cargas útiles de malware distribuidas durante el último año y medio, es probable que UNC5142 haya experimentado cierto nivel de éxito con sus operaciones».
Fuente