(https://i.imgur.com/hEnXhb1.jpeg)
Los investigadores de ciberseguridad han identificado una sofisticada campaña de malware atribuida al grupo de amenazas UNC5142, un actor motivado financieramente que utiliza contratos inteligentes de blockchain para distribuir ladrones de información (stealers) en sistemas Windows y macOS. Esta técnica, que aprovecha la infraestructura de BNB Smart Chain, representa un cambio innovador y peligroso en la forma en que los ciberdelincuentes ocultan y distribuyen sus cargas útiles maliciosas.
EtherHiding: el camuflaje perfecto en la blockchainSegún un informe del Google Threat Intelligence Group (GTIG), UNC5142 combina el uso de sitios WordPress comprometidos con una técnica denominada EtherHiding, descubierta originalmente por Guardio Labs en octubre de 2023. EtherHiding permite a los atacantes ocultar código malicioso dentro de una cadena de bloques pública, utilizando contratos inteligentes para almacenar y distribuir los scripts necesarios para ejecutar los ataques.
Desde junio de 2025, Google ha identificado más de 14,000 páginas web infectadas con código JavaScript inyectado relacionado con esta campaña. Aunque no se ha observado actividad desde el 23 de julio de 2025, los investigadores creen que el grupo podría estar reestructurando su infraestructura o desarrollando nuevas variantes.
El enfoque de UNC5142 demuestra un uso inteligente de la tecnología blockchain para eludir detección y censura, mezclando su tráfico malicioso con la actividad legítima de Web3.
CLEARSHORT: el descargador de varias etapasLa pieza central de la cadena de infección es CLEARSHORT, un descargador de JavaScript en múltiples fases que se utiliza para distribuir malware a través de los sitios WordPress comprometidos.
- Primera etapa: los atacantes inyectan un script malicioso en archivos de complementos, temas o incluso en la base de datos del sitio. Este script se comunica con un contrato inteligente alojado en la blockchain BNB Smart Chain para recuperar la siguiente etapa.
- Segunda etapa: el contrato inteligente redirige a la víctima a una página de destino maliciosa (landing page), alojada generalmente en dominios .dev de Cloudflare.
- Ingeniería social: se despliega una táctica llamada ClickFix, diseñada para engañar al usuario y hacerlo ejecutar comandos en el cuadro de diálogo "Ejecutar" de Windows o en la Terminal de macOS, bajo el pretexto de una "actualización del navegador".
Una vez ejecutado el comando, el sistema se infecta con uno de varios ladrones de información (stealers), entre ellos Atomic (AMOS), Lumma, Rhadamanthys (RADTHIEF) y Vidar, capaces de robar credenciales, datos financieros y cookies del navegador.
Ataques específicos contra Windows y macOSEn los sistemas Windows, la secuencia maliciosa descarga un archivo HTA (HTML Application) desde MediaFire, que ejecuta un script de PowerShell. Este script elude las defensas del sistema, descarga la carga final desde GitHub, MediaFire o la infraestructura del atacante, y ejecuta el malware directamente en memoria para evitar dejar rastros en disco.
En macOS, las campañas observadas entre febrero y abril de 2025 usaron señuelos similares de ClickFix, pidiendo al usuario que ejecutara un comando bash en Terminal. Dicho comando ejecuta un script de shell que utiliza curl para descargar el Atomic Stealer, un malware diseñado para robar datos de carteras de criptomonedas y contraseñas almacenadas en el sistema.
La evolución del ataque: de ClearFake a CLEARSHORTEl marco CLEARSHORT se considera una evolución directa de ClearFake, una campaña anterior analizada por Sekoia en marzo de 2025. ClearFake introdujo el uso de JavaScript falso para descargar malware de manera encubierta, técnica que UNC5142 refinó al incorporar contratos inteligentes de blockchain y cifrado avanzado.
Desde diciembre de 2024, las páginas de destino empleadas por CLEARSHORT comenzaron a servirse en formato cifrado, incrementando la dificultad para que los investigadores rastreen las cargas maliciosas y mitiguen las infecciones.
Contratos inteligentes y agilidad operativaUna característica notable de la operación de UNC5142 es su uso adaptativo de contratos inteligentes. Inicialmente, el grupo utilizaba un solo contrato en BNB Smart Chain, pero a partir de noviembre de 2024 evolucionó hacia un sistema de tres contratos interconectados, basado en el patrón proxy.
Este diseño divide las funciones en tres partes:
- Contrato de enrutamiento: gestiona las solicitudes entrantes.
- Contrato lógico: almacena las variables dinámicas (como URLs o claves de descifrado).
- Contrato de almacenamiento: mantiene los datos persistentes de la campaña.
Gracias a esta arquitectura, los atacantes pueden actualizar rápidamente componentes críticos —como la URL del payload o la clave de descifrado— sin modificar el código JavaScript en los sitios infectados. Cada actualización cuesta apenas entre $0.25 y $1.50 en tarifas de red, lo que hace que el mantenimiento de la infraestructura maliciosa sea barato y resiliente.
Dos infraestructuras paralelas y resiliencia en la operaciónEl análisis de GTIG revela que UNC5142 opera con dos infraestructuras distintas:
- Infraestructura principal: creada el 24 de noviembre de 2024, con un flujo constante de actualizaciones y considerada el núcleo de la operación.
- Infraestructura secundaria: financiada el 18 de febrero de 2025, usada para probar nuevas tácticas, desplegar campañas temporales o reforzar la resiliencia operativa.
Esta estructura dual ha permitido al grupo mantener alta disponibilidad y distribuir múltiples familias de malware sin interrupciones, a pesar de los esfuerzos de detección y desmantelamiento.
La amenaza emergente del malware impulsado por blockchainEl caso de UNC5142 marca un punto de inflexión en la evolución del malware moderno. Al aprovechar las propiedades de inmutabilidad y descentralización de la blockchain, los atacantes han encontrado una forma eficaz de ocultar su infraestructura y dificultar su eliminación.
El uso de contratos inteligentes como intermediarios en campañas de distribución de malware demuestra cómo las tecnologías Web3 pueden ser arma de doble filo, ofreciendo tanto innovación legítima como nuevos vectores de ataque.
Los administradores de sitios WordPress deben reforzar la seguridad, aplicar parches regulares y auditar sus archivos y bases de datos para detectar inyecciones de JavaScript sospechosas. Asimismo, es esencial bloquear el acceso a la blockchain BNB Smart Chain desde servidores vulnerables y educar a los usuarios sobre los riesgos de ejecutar comandos no verificados.
Fuente: https://thehackernews.com/