Sviluppatori adescati, portafogli crypto svuotati. UNC5342 rispolvera EtherHiding

Redazione RHC : 17 Ottobre 2025 11:06

Il team di Google Threat Intelligence Group (GTIG) ha rilevato che il gruppo di minaccia nordcoreano identificato come UNC5342 ha adottato la tecnica nota come EtherHiding per distribuire malware e agevolare il furto di criptovalute.

Si tratta della prima osservazione documentata da GTIG in cui un attore legato a uno stato nazionale utilizza questo metodo. Il caso è descritto all’interno di una serie di analisi in due parti che esaminano come diversi avversari impieghino EtherHiding, una tecnica che sfrutta le blockchain pubbliche per conservare e recuperare payload malevoli, caratterizzata da elevata resilienza contro tentativi tradizionali di rimozione e blocco.

Cenni su EtherHiding e origini

EtherHiding è emerso come elemento centrale a partire da settembre 2023 nella campagna finanziaria CLEARFAKE, collegata al cluster UNC5142. La tecnica prevede l’inserimento di codice dannoso – spesso sotto forma di JavaScript – all’interno di smart contract ospitati su blockchain pubbliche come Ethereum o BNB Smart Chain.

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In questo modo la blockchain diventa un canale di comando e controllo decentralizzato, difficile da rimuovere o neutralizzare.

Modalità operative della tecnica

La catena d’attacco tipica osservata combina tecniche di social engineering con l’uso di smart contract per il recupero del payload:

• Compromissione iniziale: gli autori ricorrono a ingegneria sociale (per esempio falsi colloqui di lavoro o truffe legate a progetti criptovalute) oppure sfruttano vulnerabilità o credenziali rubate su siti legittimi, spesso WordPress.
• Iniezione di un loader: sul sito compromesso viene inserito un piccolo script JavaScript – il “loader” – che viene eseguito quando una vittima visita la pagina.
• Recupero silente del payload: il loader effettua chiamate di sola lettura alla blockchain (ad esempio eth_call) per ottenere il payload memorizzato nello smart contract, evitando così transazioni pubbliche o commissioni.
• Esecuzione in memoria: il codice recuperato viene eseguito sul dispositivo della vittima e può eseguire attività di furto credenziali, visualizzazione di pagine di login fasulle o installazione di ulteriori componenti malevoli.

Questo approccio fornisce agli aggressori un’infrastruttura di distribuzione che sfrutta le proprietà di decentralizzazione, immutabilità e pseudonimia proprie delle blockchain.

Vantaggi operativi per gli autori

EtherHiding presenta diversi vantaggi per chi la usa:

• Resilienza: non esiste un server centrale che possa essere spento; il codice resta disponibile finché la blockchain è operativa.
• Anonimato relativo: le transazioni blockchain sono pseudonime, complicando l’attribuzione degli autori.
• Immutabilità: il codice negli smart contract non è facilmente modificabile o cancellabile.
• Stealth: l’uso di chiamate di sola lettura non genera una traccia evidente di transazione.
• Flessibilità: chi controlla lo smart contract può aggiornare i payload, modificare metodi di attacco o cambiare target senza toccare i siti compromessi.

Queste caratteristiche rendono EtherHiding una forma di “hosting” difficilmente intervenibile con strumenti tradizionali di contrasto.

La campagna nordcoreana: obiettivi e tattiche

Dal febbraio 2025 GTIG ha monitorato l’adozione di EtherHiding da parte di UNC5342 nell’ambito di una campagna di ingegneria sociale in corso, definita “Contagious Interview” da Palo Alto Networks. In questa operazione gli aggressori hanno impiegato il downloader JADESNOW per fornire una variante in JavaScript della backdoor INVISIBLEFERRET, collegata a numerosi furti di criptovalute.

La campagna si rivolge in modo mirato a sviluppatori e figure tecniche nei settori crypto e tecnologico, proponendo offerte di lavoro fasulle o fasi di selezione che richiedono l’esecuzione di test tecnici. Le tattiche osservate includono:

1. Adescamento iniziale (phishing e profili falsi): creazione di account finti su piattaforme professionali e, in alcuni casi, siti aziendali falsificati (es. nomi aziendali costruiti ad arte) per rendere credibili i contatti.
2. Processo di intervista manipolato: dialoghi spostati su Telegram o Discord e richieste ai candidati di scaricare o eseguire codice da repository che in realtà contengono payload malevoli. In altre varianti si mostra a schermo un falso errore durante un colloquio video, invitando la vittima a scaricare una “fix” che è malware (mitigando così sospetti).
3. Catena di infezione multi-fase: i downloader iniziali (ospitati anche su npm) raccolgono informazioni di base, quindi scaricano componenti in JavaScript di secondo stadio come BEAVERTAIL o ulteriori varianti di JADESNOW, mirati all’esfiltrazione di wallet, estensioni del browser e credenziali. Per obiettivi di valore viene infine rilasciata una backdoor persistente, tipicamente INVISIBLEFERRET (implementata anche in Python), che consente controllo remoto prolungato, spionaggio e movimento laterale in reti compromesse.

JADESNOW e differenze rispetto ad altre campagne

JADESNOW è identificato come una famiglia di downloader in JavaScript con capacità di sfruttare EtherHiding per recuperare, decodificare ed eseguire payload memorizzati su smart contract su BNB Smart Chain ed Ethereum. I dati inseriti negli smart contract possono essere codificati in Base64 e cifrati con XOR. Nella catena d’infezione JADESNOW funge da ponte verso payload più persistenti, come la backdoor INVISIBLEFERRET.JAVASCRIPT.

Rispetto a CLEARFAKE (UNC5142), che spesso si maschera da finto aggiornamento del browser per indurre l’utente a cliccare e scaricare un payload di secondo stadio memorizzato sulla BNB Smart Chain, l’implementazione di JADESNOW e la sua gestione mostrano differenze operative. È stato osservato anche un uso contemporaneo di più blockchain (Ethereum e BNB Smart Chain) da parte di UNC5342, probabilmente come misura di compartimentazione operativa o per ottimizzare costi e resilienza.

Implicazioni per la difesa

La combinazione di tecniche di social engineering sofisticate e l’uso di infrastrutture blockchain per l’hosting dei payload rappresenta una sfida crescente per le contromisure tradizionali. La natura silente del recupero tramite eth_call, la possibilità di aggiornare il contenuto degli smart contract e l’assenza di un punto singolo di fallimento richiedono nuovi approcci investigativi e di mitigazione da parte di forze dell’ordine, provider di sicurezza e operatori di infrastrutture web.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli