Hackers norcoreanos aprovechan ‘EtherHiding’ para robar criptomonedas y realizar espionaje avanzado

Introducción

En las últimas semanas, equipos de respuesta ante incidentes y analistas de inteligencia de amenazas han detectado una campaña sofisticada dirigida por actores estatales norcoreanos que emplean la táctica conocida como ‘EtherHiding’. Esta técnica, que aprovecha la infraestructura descentralizada de la blockchain Ethereum para ocultar y distribuir cargas maliciosas, está siendo utilizada para desplegar malware, robar activos en criptomonedas y ejecutar operaciones de ciberespionaje con altos niveles de evasión y persistencia. El uso de EtherHiding marca una evolución en las TTPs (tácticas, técnicas y procedimientos) de amenazas persistentes avanzadas (APT) y supone un desafío significativo para los equipos de defensa.

Contexto del Incidente o Vulnerabilidad

El grupo APT norcoreano involucrado, vinculado previamente a campañas de robo de criptomonedas y espionaje en sectores críticos, ha adoptado EtherHiding como mecanismo para eludir controles de seguridad tradicionales. EtherHiding consiste en almacenar scripts maliciosos ofuscados en las transacciones de la blockchain Ethereum, permitiendo así eludir filtros de red, listas negras de dominios y productos antimalware convencionales. La infraestructura descentralizada de Ethereum dificulta el cierre de estos canales de distribución, lo que incrementa la resiliencia de las campañas maliciosas.

La campaña observada se centra en la distribución de malware a través de páginas web comprometidas y anuncios maliciosos, afectando principalmente a usuarios de carteras de criptomonedas y plataformas DeFi. El objetivo es la exfiltración de credenciales, robo de fondos y recolección de inteligencia sobre infraestructuras críticas de organizaciones seleccionadas.

Detalles Técnicos

La táctica EtherHiding aprovecha la inmutabilidad y disponibilidad global de la blockchain Ethereum. Los atacantes insertan cargas útiles en los campos de datos de las transacciones, que posteriormente son recuperadas y ejecutadas por scripts JavaScript inyectados en sitios web comprometidos. Este vector evita la detección basada en reputación o listas negras, ya que los puntos finales son nodos legítimos de la red Ethereum.

Se han identificado campañas que emplean técnicas del framework MITRE ATT&CK como:

– T1105: Transferencia de herramientas maliciosas desde repositorios descentralizados.
– T1027: Ofuscación de scripts mediante minificación y cifrado dentro de las transacciones.
– T1568.002: Uso de servicios de blockchain como canal C2 (comando y control).

El malware descargado suele incluir troyanos de acceso remoto (RAT) y stealers personalizados, con funcionalidades para el robo de credenciales, monitorización de portapapeles en busca de direcciones de criptomonedas, y capacidades de movimiento lateral. Los IoC identificados incluyen hashes de scripts almacenados en la blockchain, direcciones de wallets utilizadas por los atacantes (ej. 0x4e…b7d7), y dominios de sitios web comprometidos.

El uso de herramientas como Metasploit para pruebas de carga útil y Cobalt Strike para establecer canales de C2 secundarios ha sido documentado por varios analistas. Se han observado exploits que aprovechan vulnerabilidades conocidas en navegadores y plugins web, aunque la persistencia y evasión dependen principalmente de la arquitectura EtherHiding.

Impacto y Riesgos

El impacto potencial de esta campaña es considerable, especialmente para organizaciones del sector financiero y para usuarios que transaccionan activos digitales. La capacidad de los atacantes para evadir controles mediante la blockchain dificulta la detección y respuesta, aumentando el tiempo de permanencia en los sistemas comprometidos (dwell time).

Se estima que un 2-3% de las transacciones recientes en carteras comprometidas han sido desviadas hacia wallets controladas por los atacantes. Los analistas calculan que los robos asociados superan los 4 millones de dólares en las últimas semanas. Además, la exfiltración de credenciales y datos sensibles supone un riesgo de incumplimiento de normativas como el GDPR y las futuras obligaciones de notificación bajo NIS2.

Medidas de Mitigación y Recomendaciones

Ante la sofisticación de EtherHiding, se recomienda a los equipos de seguridad implementar las siguientes medidas:

– Monitorización de tráfico hacia nodos de Ethereum y análisis de patrones sospechosos en solicitudes RPC.
– Aplicación de reglas YARA y firmas de IDS orientadas a detectar scripts maliciosos ofuscados en páginas web.
– Refuerzo de la higiene de seguridad en navegadores y plugins, deshabilitando la ejecución automática de scripts no verificados.
– Inspección de integridad en páginas web propias y detección proactiva de inyecciones de JavaScript.
– Segmentación de redes y aplicación del principio de mínimo privilegio para limitar la exposición de activos críticos.
– Actualización de políticas de respuesta ante incidentes para contemplar canales C2 descentralizados y mecanismos resilientes.

Opinión de Expertos

Expertos en ciberseguridad como Costin Raiu (Kaspersky) y Jake Williams (SANS) coinciden en que el uso de EtherHiding representa “una evolución lógica en la utilización de infraestructuras descentralizadas para operaciones maliciosas”. Apuntan que, a medida que las blockchains se integran en entornos corporativos y financieros, los atacantes seguirán innovando para explotar sus características de resiliencia y anonimato.

Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas reguladas bajo marcos como GDPR y NIS2, la obligatoriedad de notificar brechas y salvaguardar datos sensibles adquiere especial relevancia ante campañas con alta persistencia y evasión. Los usuarios particulares deben extremar la precaución en la gestión de carteras y plataformas DeFi, evitando la exposición a scripts desconocidos y manteniendo actualizados sus entornos de ejecución.

Conclusiones

La adopción de EtherHiding por parte de APTs norcoreanos supone un hito en la sofisticación del cibercrimen y el espionaje digital, aprovechando la resiliencia y anonimato de las blockchains públicas. La respuesta defensiva requiere una actualización continua de los mecanismos de monitorización y respuesta, así como una concienciación elevada de los riesgos asociados a la economía descentralizada y la Web3.

(Fuente: www.bleepingcomputer.com)