Sviluppatori adescati, portafogli crypto svuotati. UNC5342 rispolvera EtherHiding

Il team di Google Threat Intelligence Group (GTIG) ha rilevato che il gruppo di minaccia nordcoreano identificato come UNC5342 ha adottato la tecnica nota come EtherHiding per distribuire malware e agevolare il furto di criptovalute.

Si tratta della prima osservazione documentata da GTIG in cui un attore legato a uno stato nazionale utilizza questo metodo. Il caso è descritto all’interno di una serie di analisi in due parti che esaminano come diversi avversari impieghino EtherHiding, una tecnica che sfrutta le blockchain pubbliche per conservare e recuperare payload malevoli, caratterizzata da elevata resilienza contro tentativi tradizionali di rimozione e blocco.

Cenni su EtherHiding e origini

EtherHiding è emerso come elemento centrale a partire da settembre 2023 nella campagna finanziaria CLEARFAKE, collegata al cluster UNC5142. La tecnica prevede l’inserimento di codice dannoso – spesso sotto forma di JavaScript – all’interno di smart contract ospitati su blockchain pubbliche come Ethereum o BNB Smart Chain.

In questo modo la blockchain diventa un canale di comando e controllo decentralizzato, difficile da rimuovere o neutralizzare.

Modalità operative della tecnica

La catena d’attacco tipica osservata combina tecniche di social engineering con l’uso di smart contract per il recupero del payload:

• Compromissione iniziale: gli autori ricorrono a ingegneria sociale (per esempio falsi colloqui di lavoro o truffe legate a progetti criptovalute) oppure sfruttano vulnerabilità o credenziali rubate su siti legittimi, spesso WordPress.
• Iniezione di un loader: sul sito compromesso viene inserito un piccolo script JavaScript – il “loader” – che viene eseguito quando una vittima visita la pagina.
• Recupero silente del payload: il loader effettua chiamate di sola lettura alla blockchain (ad esempio eth_call) per ottenere il payload memorizzato nello smart contract, evitando così transazioni pubbliche o commissioni.
• Esecuzione in memoria: il codice recuperato viene eseguito sul dispositivo della vittima e può eseguire attività di furto credenziali, visualizzazione di pagine di login fasulle o installazione di ulteriori componenti malevoli.

Questo approccio fornisce agli aggressori un’infrastruttura di distribuzione che sfrutta le proprietà di decentralizzazione, immutabilità e pseudonimia proprie delle blockchain.

Vantaggi operativi per gli autori

EtherHiding presenta diversi vantaggi per chi la usa:

• Resilienza: non esiste un server centrale che possa essere spento; il codice resta disponibile finché la blockchain è operativa.
• Anonimato relativo: le transazioni blockchain sono pseudonime, complicando l’attribuzione degli autori.
• Immutabilità: il codice negli smart contract non è facilmente modificabile o cancellabile.
• Stealth: l’uso di chiamate di sola lettura non genera una traccia evidente di transazione.
• Flessibilità: chi controlla lo smart contract può aggiornare i payload, modificare metodi di attacco o cambiare target senza toccare i siti compromessi.

Queste caratteristiche rendono EtherHiding una forma di “hosting” difficilmente intervenibile con strumenti tradizionali di contrasto.

La campagna nordcoreana: obiettivi e tattiche

Dal febbraio 2025 GTIG ha monitorato l’adozione di EtherHiding da parte di UNC5342 nell’ambito di una campagna di ingegneria sociale in corso, definita “Contagious Interview” da Palo Alto Networks. In questa operazione gli aggressori hanno impiegato il downloader JADESNOW per fornire una variante in JavaScript della backdoor INVISIBLEFERRET, collegata a numerosi furti di criptovalute.

La campagna si rivolge in modo mirato a sviluppatori e figure tecniche nei settori crypto e tecnologico, proponendo offerte di lavoro fasulle o fasi di selezione che richiedono l’esecuzione di test tecnici. Le tattiche osservate includono:

1. Adescamento iniziale (phishing e profili falsi): creazione di account finti su piattaforme professionali e, in alcuni casi, siti aziendali falsificati (es. nomi aziendali costruiti ad arte) per rendere credibili i contatti.
2. Processo di intervista manipolato: dialoghi spostati su Telegram o Discord e richieste ai candidati di scaricare o eseguire codice da repository che in realtà contengono payload malevoli. In altre varianti si mostra a schermo un falso errore durante un colloquio video, invitando la vittima a scaricare una “fix” che è malware (mitigando così sospetti).
3. Catena di infezione multi-fase: i downloader iniziali (ospitati anche su npm) raccolgono informazioni di base, quindi scaricano componenti in JavaScript di secondo stadio come BEAVERTAIL o ulteriori varianti di JADESNOW, mirati all’esfiltrazione di wallet, estensioni del browser e credenziali. Per obiettivi di valore viene infine rilasciata una backdoor persistente, tipicamente INVISIBLEFERRET (implementata anche in Python), che consente controllo remoto prolungato, spionaggio e movimento laterale in reti compromesse.

JADESNOW e differenze rispetto ad altre campagne

JADESNOW è identificato come una famiglia di downloader in JavaScript con capacità di sfruttare EtherHiding per recuperare, decodificare ed eseguire payload memorizzati su smart contract su BNB Smart Chain ed Ethereum. I dati inseriti negli smart contract possono essere codificati in Base64 e cifrati con XOR. Nella catena d’infezione JADESNOW funge da ponte verso payload più persistenti, come la backdoor INVISIBLEFERRET.JAVASCRIPT.

Rispetto a CLEARFAKE (UNC5142), che spesso si maschera da finto aggiornamento del browser per indurre l’utente a cliccare e scaricare un payload di secondo stadio memorizzato sulla BNB Smart Chain, l’implementazione di JADESNOW e la sua gestione mostrano differenze operative. È stato osservato anche un uso contemporaneo di più blockchain (Ethereum e BNB Smart Chain) da parte di UNC5342, probabilmente come misura di compartimentazione operativa o per ottimizzare costi e resilienza.

Implicazioni per la difesa

La combinazione di tecniche di social engineering sofisticate e l’uso di infrastrutture blockchain per l’hosting dei payload rappresenta una sfida crescente per le contromisure tradizionali. La natura silente del recupero tramite eth_call, la possibilità di aggiornare il contenuto degli smart contract e l’assenza di un punto singolo di fallimento richiedono nuovi approcci investigativi e di mitigazione da parte di forze dell’ordine, provider di sicurezza e operatori di infrastrutture web.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.