Un actor de amenazas motivado financieramente con nombre en código UNC5142 Se ha observado que abusa de los contratos inteligentes de blockchain como una forma de entregar la distribución de ladrones de información como Atomic (AMOS), Lumma, Rhadamanthys (asimismo conocido como RADTHIEF) y Vidar, dirigidos a sistemas Windows y Apple macOS.
“UNC5142 se caracteriza por su uso de sitios web de WordPress comprometidos y ‘EtherHiding’, una técnica utilizada para ocultar códigos o datos maliciosos colocándolos en una condena de bloques pública, como BNB Smart Chain”, dijo Google Threat Intelligence Group (GTIG) en un referencia compartido con The Hacker News.
En junio de 2025, Google dijo que había afectado rodeando de 14.000 páginas web que contenían JavaScript inyectado y que mostraban un comportamiento asociado con un UNC5142, lo que indica un ataque indiscriminado a sitios vulnerables de WordPress. Sin secuestro, el superhombre tecnológico señaló que no ha detectado ninguna actividad UNC5142 desde el 23 de julio de 2025, lo que indica una pausa o un libranza operante.
EtherHiding fue documentado por primera vez por Guardio Labs en octubre de 2023, cuando detalló ataques que implicaban servir código receloso mediante el uso de contratos Smart Chain (BSC) de Binance a través de sitios infectados que mostraban advertencias falsas de aggiornamento del navegador.
Un aspecto crucial que sustenta las cadenas de ataque es un descargador de JavaScript de varias etapas denominado CLEARSHORT que permite la distribución del malware a través de los sitios pirateados. La primera etapa es un malware JavaScript que se inserta en los sitios web para recuperar la segunda etapa interactuando con un anuencia inteligente receloso almacenado en la condena de bloques BNB Smart Chain (BSC). La primera etapa del malware se agrega a archivos relacionados con complementos, archivos de temas y, en algunos casos, incluso directamente a la colchoneta de datos de WordPress.
El anuencia inteligente, por su parte, es responsable de obtener una página de inicio CLEARSHORT de un servidor extranjero que, a su vez, emplea la táctica de ingeniería social ClickFix para engañar a las víctimas para que ejecuten comandos maliciosos en el cuadro de diálogo Ejecutar de Windows (o la aplicación Terminal en Mac), infectando finalmente el sistema con malware atracador. Las páginas de destino, normalmente alojadas en una página .dev de Cloudflare, se recuperan en un formato secreto a partir de diciembre de 2024.
 |
| CLEARSHORT condena de infección |
En los sistemas Windows, el comando receloso implica la ejecución de un archivo de aplicación HTML (HTA) descargado desde una URL de MediaFire, que luego suelta un script de PowerShell para eludir las defensas, recupera la carga útil final cifrada de GitHub o MediaFire, o de su propia infraestructura en algunos casos, y ejecuta el atracador directamente en la memoria sin escribir el artefacto en el disco.
En ataques dirigidos a macOS en febrero y abril de 2025, se descubrió que los atacantes utilizaban señuelos ClickFix para solicitar al becario que ejecutara un comando bash en la Terminal que recuperaba un script de shell. Después, el script utiliza el comando curl para obtener la carga útil de Atomic Stealer del servidor remoto.
 |
| Distribución final de carga útil UNC5142 a lo desprendido del tiempo |
Se considera que CLEARSHORT es una transformación de ClearFake, que fue objeto de un estudio completo por parte de la empresa francesa de ciberseguridad Sekoia en marzo de 2025. ClearFake es un entorno de JavaScript fraudulento implementado en sitios web comprometidos para distribuir malware a través de la técnica de descarga no autorizada. Se sabe que está activo desde julio de 2023, y los ataques adoptaron ClickFix rodeando de mayo de 2024.
El desmán de blockchain ofrece varias ventajas, ya que la técnica inteligente no solo se integra con la actividad legítima de Web3, sino que asimismo aumenta la resiliencia de las operaciones de UNC5142 contra los esfuerzos de detección y aniquilación.
Google dijo que las campañas del actor de amenazas han sido testigos de una crecimiento considerable durante el año pasado, pasando de un sistema de anuencia único a un sistema más sofisticado de tres contratos inteligentes a partir de noviembre de 2024 para una anciano agilidad operativa, y se observaron más mejoras a principios de enero.
“Esta nueva bloque es una ajuste de un principio verdadero de diseño de software conocido como patrón proxy, que los desarrolladores utilizan para hacer que sus contratos sean actualizables”, explicó.
“La configuración funciona como una bloque Router-Logic-Storage mucho valioso donde cada anuencia tiene un trabajo específico. Este diseño permite actualizaciones rápidas de partes críticas del ataque, como la URL de la página de destino o la secreto de descifrado, sin menester de modificar el JavaScript en los sitios web comprometidos. Como resultado, las campañas son mucho más ágiles y resistentes a las eliminaciones”.
UNC5142 logra esto aprovechando la naturaleza mutable de los datos de un anuencia inteligente (vale la pena señalar que el código del software es inmutable una vez que se implementa) para alterar la URL de la carga útil, lo que les cuesta entre $0,25 y $1,50 en tarifas de red para realizar estas actualizaciones.
Un estudio más detallado ha determinado el uso por parte del actor de amenazas de dos conjuntos distintos de infraestructuras de contratos inteligentes para entregar malware atracador a través del descargador CLEARSHORT. Se dice que la infraestructura principal se creó el 24 de noviembre de 2024, mientras que la infraestructura secundaria paralela se financió el 18 de febrero de 2025.
“La infraestructura principal se destaca como la infraestructura central de la campaña, marcada por su creación temprana y un flujo constante de actualizaciones”, dijo GTIG. “La infraestructura secundaria aparece como un despliegue paralelo, más táctico, probablemente establecido para apoyar un aumento específico en la actividad de campaña, probar nuevos señuelos o simplemente desarrollar resiliencia operativa”.
“Dadas las frecuentes actualizaciones de la condena de infección adjunto con el ritmo operante constante, el parada cuerpo de sitios web comprometidos y la diversificación de cargas aperos de malware distribuidas durante el zaguero año y medio, es probable que UNC5142 haya experimentado cierto nivel de éxito con sus operaciones”.
