Grupo norcoreano UNC5342 adopta EtherHiding para distribuir malware y robar criptomonedas

Introducción

La sofisticación y creatividad en las técnicas de distribución de malware continúan evolucionando, especialmente cuando actores estatales entran en juego. Recientemente, el equipo de Google Threat Intelligence Group (GTIG) ha atribuido a un grupo de amenazas vinculado a la República Popular Democrática de Corea (RPDC), identificado como UNC5342, la adopción de la técnica EtherHiding para propagar malware y facilitar el robo de criptomonedas. Este hallazgo representa la primera vez que un grupo de hackers patrocinado por un Estado utiliza EtherHiding, marcando un hito preocupante en la evolución de los ciberataques avanzados.

Contexto del Incidente

La actividad maliciosa detectada por GTIG se enmarca en la tendencia creciente de grupos APT (Amenaza Persistente Avanzada) norcoreanos de focalizarse en el sector de las criptomonedas y en infraestructuras descentralizadas. UNC5342, rastreado desde hace meses, ha sido relacionado con campañas anteriores de spear phishing y ataques a exchanges de criptomonedas. Sin embargo, el empleo de EtherHiding supone un salto cualitativo, ya que utiliza mecanismos novedosos para ocultar la carga maliciosa y evadir los controles de seguridad tradicionales.

EtherHiding es una técnica de reciente aparición que aprovecha la infraestructura de blockchain de Ethereum para almacenar y distribuir código malicioso de forma descentralizada y resistente a la censura. Hasta ahora, su uso se había limitado a campañas de malware de menor escala o a actores no estatales. La adopción por parte de UNC5342 indica una evolución en el arsenal técnico de los grupos APT norcoreanos y una adaptación a los desafíos que plantean las defensas modernas.

Detalles Técnicos

El vector de ataque identificado por GTIG comienza con la infección de sitios web legítimos mediante la explotación de vulnerabilidades conocidas en CMS como WordPress (en versiones no actualizadas). Los atacantes insertan scripts maliciosos en los archivos JavaScript del sitio comprometido. Estos scripts se comunican con la blockchain de Ethereum utilizando la técnica EtherHiding: el código malicioso adicional está cifrado y almacenado en transacciones de la blockchain, haciendo muy difícil su eliminación o bloqueo.

Cuando un usuario visita el sitio comprometido, el script JavaScript consulta la blockchain de Ethereum, recupera el payload cifrado y lo descifra en el navegador, desplegando el malware. Según GTIG, entre los malware distribuidos se han identificado stealers de criptomonedas, troyanos de acceso remoto y cargas diseñadas para el robo de credenciales y wallets.

– CVEs implicados: CVE-2023-23752, CVE-2022-3590 (ambas relacionadas con WordPress y plugins populares).
– Frameworks de ataque: Se han observado variantes de Cobalt Strike y herramientas personalizadas para la persistencia y el movimiento lateral.
– TTPs (MITRE ATT&CK): T1195 (Supply Chain Compromise), T1027 (Obfuscated Files or Information), T1566 (Phishing), T1218 (Signed Binary Proxy Execution).
– Indicadores de Compromiso (IoC): hashes de scripts JavaScript, direcciones de Ethereum utilizadas para el almacenamiento del payload, URLs de sitios comprometidos.

Impacto y Riesgos

El impacto potencial de esta campaña es significativo. El uso de EtherHiding dificulta la detección y el bloqueo por parte de soluciones de seguridad convencionales, ya que el código malicioso no reside en un servidor centralizado susceptible de ser deshabilitado. Además, el robo de criptomonedas y credenciales puede tener consecuencias económicas graves tanto para particulares como para empresas, especialmente aquellas que operan en el ámbito de las finanzas descentralizadas (DeFi).

Se estima que, en campañas previas con técnicas similares pero menos avanzadas, los actores norcoreanos lograron sustraer más de 900 millones de dólares en activos digitales solo en 2023 (Chainalysis, 2024). El alcance potencial de la actual campaña es difícil de calcular, pero considerando la resiliencia de la infraestructura blockchain, la remoción completa del código malicioso puede resultar inviable.

Medidas de Mitigación y Recomendaciones

– Actualización inmediata de CMS y plugins: Priorizar el parcheo de vulnerabilidades conocidas (CVE-2023-23752, CVE-2022-3590).
– Monitorización de tráfico hacia la blockchain de Ethereum desde entornos corporativos.
– Uso de soluciones EDR/NGAV capaces de inspeccionar scripts web y detectar comportamientos anómalos en procesos de navegador.
– Implementación de reglas YARA e IoC proporcionados por GTIG para identificar scripts maliciosos y direcciones de Ethereum comprometidas.
– Formación continua en concienciación de seguridad para equipos de desarrollo y administradores de sistemas.

Opinión de Expertos

Varios analistas del sector han manifestado su preocupación ante la adopción de EtherHiding por parte de un grupo APT estatal. «Las cadenas de bloques públicas ofrecen resiliencia y anonimato, dificultando enormemente las labores de atribución y mitigación», señala Marta González, analista de amenazas en un SOC de referencia europeo. Por su parte, expertos en regulación advierten que incidentes de este tipo pueden acelerar la puesta en marcha de normativas más estrictas como NIS2 y la revisión de la GDPR respecto a la seguridad del tratamiento de datos en plataformas DeFi.

Implicaciones para Empresas y Usuarios

Las organizaciones que operan en el sector de las criptomonedas o que mantienen plataformas web expuestas deben reforzar sus mecanismos de defensa y revisar sus políticas de seguridad. La combinación de técnicas de evasión avanzadas y el uso de infraestructura blockchain como canal de comando y control (C2) puede marcar una tendencia en futuras campañas. Los usuarios, por su parte, deben extremar la precaución al interactuar con exchanges y plataformas web, así como adoptar buenas prácticas de higiene digital.

Conclusiones

La adopción de EtherHiding por parte de UNC5342 supone un punto de inflexión en el panorama de amenazas. La combinación de innovación técnica, resiliencia y anonimato pone en jaque las estrategias defensivas tradicionales. La detección proactiva, el intercambio de inteligencia y la adaptación normativa serán claves para mitigar el impacto de este tipo de campañas en el futuro inmediato.

(Fuente: feeds.feedburner.com)