Almeno due distinte organizzazioni di hacking, tra cui a Attore legato allo stato nordcoreano e un gruppo criminale a sfondo economicostanno sfruttando le blockchain pubbliche per nascondere e gestire malware, secondo una ricerca del Threat Intelligence Group di Google. Questo metodo rende le loro operazioni altamente resistenti ai tentativi di rimozione convenzionali. La tecnica, che i ricercatori hanno chiamato EtherHiding, altera radicalmente il modo in cui gli aggressori gestiscono e distribuiscono codice dannoso incorporando istruzioni all’interno di contratti intelligenti su blockchain pubbliche invece di fare affidamento sui convenzionali server di comando e controllo. Questo approccio sfrutta le caratteristiche decentralizzate e immutabili della tecnologia blockchain per creare quella che la ricerca descrive come un’infrastruttura “a prova di proiettile”. Robert Wallace, leader della consulenza presso Mandiant, una parte di Google Cloud, ha definito lo sviluppo come “un’escalation nel panorama delle minacce”. Ha osservato che gli hacker hanno sviluppato un metodo che è “resistente agli attacchi delle forze dell’ordine” e può essere “facilmente modificato per nuove campagne”. Il design centrale della blockchain garantisce che, una volta registrati, i dati non possano essere alterati o rimossi, fornendo agli aggressori una piattaforma persistente e affidabile per le loro operazioni, non soggetta alle tipiche procedure di rimozione che prendono di mira i server centralizzati. EtherHiding è stato osservato per la prima volta nel 2023 durante una campagna nota come ClearFake, in cui i criminali informatici con motivazioni finanziarie hanno utilizzato falsi messaggi di aggiornamento del browser per attirare le vittime. Il concetto di base prevede la memorizzazione di codice o comandi dannosi all’interno di una transazione blockchain o, più comunemente, di un contratto intelligente. Gli aggressori recuperano quindi queste informazioni utilizzando chiamate di sola lettura alla blockchain. Poiché queste chiamate non scrivono nuovi dati né trasferiscono risorse, non creano transazioni visibili nel registro pubblico. Questa azione furtiva consente al malware di ricevere istruzioni senza lasciare una traccia chiara per gli analisti della sicurezza. Di conseguenza, i difensori non possono fare affidamento sui tradizionali indicatori di compromissione, come domini o indirizzi IP dannosi, che sono fondamentali per il rilevamento e il blocco delle minacce convenzionali. Il rapporto afferma che finché la blockchain rimane operativa, il “codice dannoso rimane accessibile”. I ricercatori hanno identificato che i due gruppi hanno adattato EtherHiding per obiettivi diversi. Il gruppo affiliato alla Corea del Nord, identificato come UNC5342, incorpora la tecnica in sofisticate campagne di ingegneria sociale progettate per infiltrarsi nelle reti di sviluppatori e aziende di criptovaluta. Al contrario, il gruppo finanziario UNC5142 utilizza EtherHiding per facilitare la distribuzione capillare di malware che rubano informazioni compromettendo un gran numero di siti Web WordPress. Il gruppo di minaccia nordcoreano UNC5342 ha integrato la tecnica EtherHiding in un’operazione più ampia Reti di Palo Alto precedentemente denominata campagna Contagious Interview. Questa campagna prevede tattiche di ingegneria sociale in cui gli aggressori si spacciano per reclutatori su siti di networking professionale come LinkedIn e varie bacheche di lavoro. Si avvicinano agli sviluppatori di software con offerte di lavoro fraudolente da società fabbricate, con “BlockNovas LLC” e “Angeloper Agency” che sono due esempi dei nomi di aziende false utilizzate. Gli aggressori mirano a costruire un rapporto con i loro obiettivi prima di spostarli alla fase successiva dell’attacco. Dopo aver stabilito un contatto iniziale, gli attori dietro UNC5342 avrebbero attirato gli sviluppatori presi di mira in interviste organizzate condotte su applicazioni di messaggistica crittografate come Telegram e Discord. Durante quella che è stata presentata come una valutazione tecnica o una sfida di codifica, alle vittime è stato chiesto di scaricare ed eseguire file da repository pubblici su GitHub o npm. Questi file presumibilmente facevano parte del processo di intervista, ma contenevano segretamente payload di malware. Le principali famiglie di malware identificate in questa campagna sono JadeSnow, un downloader, e InvisibleFerret, una backdoor. Entrambi questi strumenti dannosi sono progettati per utilizzare EtherHiding per le loro comunicazioni di comando e controllo, connettendosi a contratti intelligenti controllati dagli aggressori distribuiti su entrambe le reti Ethereum e BNB Smart Chain per ricevere istruzioni. La catena di infezione avviata da UNC5342 è metodica. Il downloader JadeSnow è il primo componente da eseguire sul sistema della vittima. È programmato per interrogare specifici contratti intelligenti sulla blockchain per recuperare payload JavaScript crittografati. Questi payload, una volta decrittografati, sono responsabili della consegna della backdoor principale, InvisibleFerret. Una volta installato e attivo su un computer compromesso, il malware InvisibleFerret garantisce agli aggressori un’ampia gamma di funzionalità. Queste includono la capacità di esfiltrare dati sensibili, acquisire credenziali utente ed esercitare il controllo remoto sul sistema infetto. In alcuni casi osservati, i ricercatori hanno notato che InvisibleFerret ha implementato un modulo aggiuntivo per il furto di credenziali appositamente progettato per prendere di mira i browser Web e i popolari portafogli di criptovaluta come MetaMask e Phantom. I dati rubati attraverso queste attività vengono poi esfiltrati su server controllati dagli aggressori e inviati anche a canali Telegram privati. La campagna ha un duplice scopo per il regime nordcoreano: generare entrate illecite attraverso il furto di criptovalute e raccogliere informazioni strategiche dagli sviluppatori compromessi e dai loro datori di lavoro. In un’indagine separata, Google Mandiant ha dettagliato le attività di UNC5142, un attore di minacce motivato finanziariamente che si affida anche a EtherHiding. L’obiettivo principale di questo gruppo è infettare un vasto numero di siti Web per distribuire varie famiglie di malware in grado di rubare informazioni. Il metodo del gruppo prevede di compromettere i siti WordPress che presentano vulnerabilità di sicurezza e di iniettarli con downloader JavaScript dannosi, collettivamente denominati ClearShort. Questi script sono progettati per utilizzare i contratti intelligenti sulla BNB Smart Chain come livello di controllo resiliente, recuperando i payload di seconda fase o reindirizzando le vittime alle pagine di destinazione ospitate dagli aggressori. L’infrastruttura operativa di UNC5142 si distingue per l’ampio utilizzo di servizi legittimi per mascherare le sue attività dannose. Il gruppo ospita le sue pagine di destinazione dannose sul servizio pages.dev di Cloudflare, facendo apparire il traffico più legittimo, mentre le informazioni principali di comando e controllo sono archiviate sulla blockchain. Entro la metà del 2025, il team di Google aveva identificato tracce degli script inseriti da UNC5142 su circa 14.000 siti Web distinti. Anche l’architettura del gruppo si è evoluta, passando da un singolo contratto intelligente a un sistema più complesso a tre livelli che imita un “modello proxy” del software. Questa struttura avanzata è costituita da un contratto router che dirige il traffico, un contratto di rilevamento delle impronte digitali per profilare il sistema della vittima e un contratto di carico utile che memorizza dati crittografati e chiavi di decrittografia. Questo design consente agli aggressori di aggiornare la propria infrastruttura, come URL di richiamo o chiavi di crittografia, su migliaia di siti infetti contemporaneamente attraverso un’unica transazione blockchain, che può costare anche solo un dollaro in commissioni di rete. Per fornire i suoi payload finali, UNC5142 utilizza tattiche di ingegneria sociale, come la visualizzazione di pagine di verifica Cloudflare false o richieste di aggiornamento fraudolente del browser Chrome. Queste esche sono progettate per persuadere le vittime a eseguire comandi dannosi, generalmente nascosti in quella che sembra essere un’azione legittima. Un’esecuzione riuscita porta alla consegna di potenti infostealer, tra cui Vidar, Lummac.V2 e RadThief. Le campagne del gruppo dimostrano un chiaro progresso nella sofisticazione tecnica, con uno spostamento verso standard di crittografia più forti come AES-GCM e tecniche di offuscamento più avanzate. In un esempio documentato, il JavaScript dell’aggressore ha recuperato codice HTML crittografato da Cloudflare, che è stato poi decrittografato sul lato client. Questa pagina decrittografata richiedeva all’utente di eseguire un comando nascosto di PowerShell che scaricava il payload finale, spesso camuffato da file multimediale innocuo. L’analisi delle transazioni blockchain ha rivelato che l’UNC5142 manteneva almeno due infrastrutture parallele, che i ricercatori hanno soprannominato Principale e Secondaria. Entrambi utilizzavano lo stesso codice di contratto intelligente e venivano finanziati da portafogli di criptovaluta collegati tramite lo scambio OKX. È stato osservato che gli aggressori aggiornavano entrambe le infrastrutture a pochi minuti l’una dall’altra, un’azione che suggerisce fortemente un controllo coordinato da parte di un unico attore organizzato. La ricerca evidenzia che né UNC5342 né UNC5142 interagiscono direttamente con i nodi blockchain. Dipendono invece da servizi centralizzati, come endpoint RPC (Remote Procedure Call) pubblici o fornitori di API di terze parti, per recuperare i dati dalla blockchain. Questa dipendenza crea ciò che i ricercatori chiamano “punti di osservazione e controllo”, in cui i difensori o i fornitori di servizi potrebbero potenzialmente intervenire. Nel caso dell’UNC5342, i ricercatori hanno contattato diversi fornitori di API utilizzati nella campagna. La risposta è stata incoerente; mentre alcuni provider hanno agito rapidamente per bloccare l’attività dannosa, altri no. Questa cooperazione non uniforme, hanno affermato i ricercatori, “aumenta il rischio che questa tecnica proliferi tra gli autori delle minacce”. La natura intrinseca dei contratti intelligenti rappresenta una sfida significativa, poiché sono pubblici e immutabili. Una volta distribuito, il loro codice non può essere rimosso o bloccato dai team di sicurezza, anche se contrassegnato come dannoso. I filtri di sicurezza basati sulla rete, progettati per i tradizionali modelli di traffico web, faticano ad analizzare e bloccare in modo efficace i modelli decentralizzati associati alle tecnologie Web3. L’anonimato offerto dagli indirizzi dei portafogli di criptovaluta, combinato con il costo estremamente basso delle transazioni blockchain, consente agli autori delle minacce di ripetere rapidamente le loro tattiche e sostenere le campagne a tempo indeterminato. I ricercatori hanno stimato che per UNC5142, l’aggiornamento di un’intera catena di distribuzione del malware costa tra 25 centesimi e 1,50 dollari per transazione, offrendo a questi aggressori un’agilità operativa che supera l’infrastruttura convenzionale.
