Un actor de amenazas motivado financieramente con nombre en código UNC5142 Se ha observado que abusa de los contratos inteligentes de blockchain como una forma de proveer la distribución de ladrones de información como Atomic (AMOS), Lumma, Rhadamanthys (todavía conocido como RADTHIEF) y Vidar, dirigidos a sistemas Windows y Apple macOS.
«UNC5142 se caracteriza por su uso de sitios web de WordPress comprometidos y ‘EtherHiding’, una técnica utilizada para ocultar códigos o datos maliciosos colocándolos en una sujeción de bloques pública, como BNB Smart Chain», dijo Google Threat Intelligence Group (GTIG) en un crónica compartido con The Hacker News.
En junio de 2025, Google dijo que había impresionado aproximadamente de 14.000 páginas web que contenían JavaScript inyectado y que mostraban un comportamiento asociado con un UNC5142, lo que indica un ataque indiscriminado a sitios vulnerables de WordPress. Sin confiscación, el coloso tecnológico señaló que no ha detectado ninguna actividad UNC5142 desde el 23 de julio de 2025, lo que indica una pausa o un libranza eficaz.
EtherHiding fue documentado por primera vez por Guardio Labs en octubre de 2023, cuando detalló ataques que implicaban servir código malvado mediante el uso de contratos Smart Chain (BSC) de Binance a través de sitios infectados que mostraban advertencias falsas de modernización del navegador.
Un aspecto crucial que sustenta las cadenas de ataque es un descargador de JavaScript de varias etapas denominado CLEARSHORT que permite la distribución del malware a través de los sitios pirateados. La primera etapa es un malware JavaScript que se inserta en los sitios web para recuperar la segunda etapa interactuando con un pacto inteligente malvado almacenado en la sujeción de bloques BNB Smart Chain (BSC). La primera etapa del malware se agrega a archivos relacionados con complementos, archivos de temas y, en algunos casos, incluso directamente a la colchoneta de datos de WordPress.
El pacto inteligente, por su parte, es responsable de obtener una página de inicio CLEARSHORT de un servidor foráneo que, a su vez, emplea la táctica de ingeniería social ClickFix para engañar a las víctimas para que ejecuten comandos maliciosos en el cuadro de diálogo Ejecutar de Windows (o la aplicación Terminal en Mac), infectando finalmente el sistema con malware descuidero. Las páginas de destino, normalmente alojadas en una página .dev de Cloudflare, se recuperan en un formato oculto a partir de diciembre de 2024.
 |
| CLEARSHORT sujeción de infección |
En los sistemas Windows, el comando malvado implica la ejecución de un archivo de aplicación HTML (HTA) descargado desde una URL de MediaFire, que luego suelta un script de PowerShell para eludir las defensas, recupera la carga útil final cifrada de GitHub o MediaFire, o de su propia infraestructura en algunos casos, y ejecuta el descuidero directamente en la memoria sin escribir el artefacto en el disco.
En ataques dirigidos a macOS en febrero y abril de 2025, se descubrió que los atacantes utilizaban señuelos ClickFix para solicitar al sucesor que ejecutara un comando bash en la Terminal que recuperaba un script de shell. Luego, el script utiliza el comando curl para obtener la carga útil de Atomic Stealer del servidor remoto.
 |
| Distribución final de carga útil UNC5142 a lo derrochador del tiempo |
Se considera que CLEARSHORT es una variable de ClearFake, que fue objeto de un descomposición íntegro por parte de la empresa francesa de ciberseguridad Sekoia en marzo de 2025. ClearFake es un situación de JavaScript fraudulento implementado en sitios web comprometidos para distribuir malware a través de la técnica de descarga no autorizada. Se sabe que está activo desde julio de 2023, y los ataques adoptaron ClickFix aproximadamente de mayo de 2024.
El desmán de blockchain ofrece varias ventajas, ya que la técnica inteligente no solo se integra con la actividad legítima de Web3, sino que todavía aumenta la resiliencia de las operaciones de UNC5142 contra los esfuerzos de detección y aniquilación.
Google dijo que las campañas del actor de amenazas han sido testigos de una desarrollo considerable durante el año pasado, pasando de un sistema de pacto único a un sistema más sofisticado de tres contratos inteligentes a partir de noviembre de 2024 para una maduro agilidad operativa, y se observaron más mejoras a principios de enero.
«Esta nueva edificación es una aclimatación de un principio seguro de diseño de software conocido como patrón proxy, que los desarrolladores utilizan para hacer que sus contratos sean actualizables», explicó.
«La configuración funciona como una edificación Router-Logic-Storage en extremo apto donde cada pacto tiene un trabajo específico. Este diseño permite actualizaciones rápidas de partes críticas del ataque, como la URL de la página de destino o la esencia de descifrado, sin requisito de modificar el JavaScript en los sitios web comprometidos. Como resultado, las campañas son mucho más ágiles y resistentes a las eliminaciones».
UNC5142 logra esto aprovechando la naturaleza mutable de los datos de un pacto inteligente (vale la pena señalar que el código del software es inmutable una vez que se implementa) para alterar la URL de la carga útil, lo que les cuesta entre $0,25 y $1,50 en tarifas de red para realizar estas actualizaciones.
Un descomposición más detallado ha determinado el uso por parte del actor de amenazas de dos conjuntos distintos de infraestructuras de contratos inteligentes para entregar malware descuidero a través del descargador CLEARSHORT. Se dice que la infraestructura principal se creó el 24 de noviembre de 2024, mientras que la infraestructura secundaria paralela se financió el 18 de febrero de 2025.
«La infraestructura principal se destaca como la infraestructura central de la campaña, marcada por su creación temprana y un flujo constante de actualizaciones», dijo GTIG. «La infraestructura secundaria aparece como un despliegue paralelo, más táctico, probablemente establecido para apoyar un aumento específico en la actividad de campaña, probar nuevos señuelos o simplemente desarrollar resiliencia operativa».
«Dadas las frecuentes actualizaciones de la sujeción de infección unido con el ritmo eficaz constante, el detención comba de sitios web comprometidos y la pluralidad de cargas enseres de malware distribuidas durante el posterior año y medio, es probable que UNC5142 haya experimentado cierto nivel de éxito con sus operaciones».
