Un actor de amenazas con motivaciones financieras con nombre en código UNC5142 se ha observado que abusan de los contratos inteligentes de la cadena de bloques como una forma de facilitar la distribución de ladrones de información como Atomic (AMOS), Lumma, Rhadamanthys (también conocido como RADTHIEF) y Vidar, dirigidos tanto a los sistemas macOS Windows como Apple.
«La UNC5142 se caracteriza por el uso de sitios web de WordPress comprometidos y por el «EtherHiding», una técnica que se utiliza para ocultar códigos o datos maliciosos colocándolos en una cadena de bloques pública, como la BNB Smart Chain», dijo Google Threat Intelligence Group (GTIG) dijo en un informe compartido con The Hacker News.
En junio de 2025, Google dijo que había marcado unas 14 000 páginas web que contenían JavaScript inyectado y que mostraban un comportamiento asociado a la UNC5142, lo que indica que se están dirigiendo indiscriminadamente a sitios vulnerables de WordPress. Sin embargo, el gigante tecnológico señaló que no había detectado ninguna actividad en la UNC5142 desde el 23 de julio de 2025, lo que indicara una pausa o un cambio en las operaciones.
EtherHiding fue primera documentación de Guardio Labs en octubre de 2023, cuando detalló los ataques que implicaban la publicación de código malicioso mediante la utilización de los contratos Smart Chain (BSC) de Binance a través de sitios infectados que publicaban falsas advertencias de actualización del navegador.
Un aspecto crucial que sustenta las cadenas de ataque es un descargador de JavaScript de varias etapas denominado CLEARSHORT que permite la distribución del malware a través de los sitios pirateados. La primera fase consiste en un malware basado en JavaScript que se inserta en los sitios web para recuperar la segunda fase mediante la interacción con un contrato inteligente malicioso almacenado en la cadena de bloques BNB Smart Chain (BSC). El malware de primera fase se añade a los archivos relacionados con complementos, a los archivos de temas y, en algunos casos, incluso directamente a la base de datos de WordPress.
El contrato inteligente, por su parte, es responsable de obtener una página de inicio de CLEARSHORT desde un servidor externo que, a su vez, emplea el Haga clic en Fijar táctica de ingeniería social para engañar a las víctimas para que ejecuten comandos maliciosos en el cuadro de diálogo Ejecutar de Windows (o en la aplicación Terminal en Mac) y, en última instancia, infectar el sistema con malware robador. Las páginas de destino, que normalmente se alojan en una página .dev de Cloudflare, se recuperan en formato cifrado a partir de diciembre de 2024.
|
| Cadena de infección CLEARSHORT |
En los sistemas Windows, el comando malicioso implica la ejecución de un archivo de aplicación HTML (HTA) descargado de una URL de MediaFire, que luego elimina un script de PowerShell para eludir las defensas, obtener la carga final cifrada de GitHub o MediaFire, o de su propia infraestructura en algunos casos, y ejecutar el ladrón directamente en la memoria sin escribir el artefacto en el disco.
En los ataques dirigidos a macOS en febrero y abril de 2025, se descubrió que los atacantes utilizaban señuelos de ClickFix para solicitar al usuario que ejecutara un comando bash en la Terminal que recuperaba un script de shell. Posteriormente, el script utiliza el comando curl para obtener la carga útil de Atomic Stealer del servidor remoto.
|
| UNC5/142: distribución final de la carga útil a lo largo del tiempo |
Se considera que CLEARSHORT es una variante de Borrar Fake , que fue objeto de un análisis exhaustivo por parte de la empresa francesa de ciberseguridad Sekoia en marzo de 2025. ClearFake es un marco JavaScript fraudulento que se implementa en sitios web comprometidos para distribuir malware mediante la técnica de descarga automática. Se sabe que está activo desde julio de 2023, y los ataques adoptaron ClickFix alrededor de mayo de 2024.
El abuso de la cadena de bloques ofrece varias ventajas, ya que la ingeniosa técnica no solo se combina con la actividad legítima de Web3, sino que también aumenta la resiliencia de las operaciones de la UNC5142 frente a los esfuerzos de detección y eliminación.
Google dijo que las campañas de los actores de amenazas experimentaron una evolución considerable durante el último año, pasando de un sistema de contrato único a un sistema de tres contratos inteligentes más sofisticado a partir de noviembre de 2024 para una mayor agilidad operativa, y que se observaron nuevas mejoras a principios de enero.
«Esta nueva arquitectura es una adaptación de un principio legítimo de diseño de software conocido como patrón de proxy, que los desarrolladores utilizan para hacer que sus contratos sean actualizables», explicó.
«La configuración funciona como una arquitectura de Router-Logic-Storage altamente eficiente en la que cada contrato tiene un trabajo específico. Este diseño permite actualizar rápidamente partes críticas del ataque, como la URL de la página de destino o la clave de descifrado, sin necesidad de modificar el JavaScript de los sitios web comprometidos. Como resultado, las campañas son mucho más ágiles y resistentes a los retiros».
La UNC5142 logra esto aprovechando la naturaleza mutable de los datos de un contrato inteligente (cabe señalar que el código del programa es inmutable una vez que se implementa) para modificar la URL de la carga útil, lo que les cuesta entre 0,25 y 1,50 dólares en comisiones de red para realizar estas actualizaciones.
Un análisis más detallado ha determinado el uso por parte del actor de amenazas de dos conjuntos distintos de infraestructuras de contratos inteligentes para entregar malware robador a través del descargador CLEARSHORT. Se dice que la infraestructura principal se creó el 24 de noviembre de 2024, mientras que la infraestructura secundaria paralela se financió el 18 de febrero de 2025.
«La infraestructura principal se destaca como la infraestructura principal de la campaña, caracterizada por su creación temprana y un flujo constante de actualizaciones», dijo GTIG. «La infraestructura secundaria se presenta como un despliegue paralelo, más táctico, que probablemente se haya establecido para soportar un aumento específico de la actividad de la campaña, probar nuevos señuelos o simplemente aumentar la resiliencia operativa».
«Dadas las frecuentes actualizaciones de la cadena de infección, junto con el ritmo operativo constante, el alto volumen de sitios web comprometidos y la diversidad de cargas útiles de malware distribuidas durante el último año y medio, es probable que las operaciones de la UNC5142 hayan tenido cierto nivel de éxito».