Pelo menos duas organizações de hackers distintas, incluindo uma Ator ligado ao Estado norte-coreano e um grupo criminoso com motivação financeiraestão aproveitando blockchains públicos para ocultar e gerenciar malware, de acordo com uma pesquisa do Threat Intelligence Group do Google. Este método torna suas operações altamente resistentes aos esforços convencionais de desmontagem. A técnica, que os pesquisadores chamaram de EtherHiding, altera fundamentalmente a forma como os invasores gerenciam e implantam códigos maliciosos, incorporando instruções em contratos inteligentes em blockchains públicos, em vez de depender de servidores convencionais de comando e controle. Esta abordagem aproveita as características descentralizadas e imutáveis da tecnologia blockchain para criar o que a pesquisa descreve como uma infraestrutura “à prova de balas”. Robert Wallace, líder de consultoria da Mandiant, parte do Google Cloud, caracterizou o desenvolvimento como uma “escalada no cenário de ameaças”. Ele observou que os hackers desenvolveram um método que é “resistente a remoções policiais” e pode ser “facilmente modificado para novas campanhas”. O design central do blockchain garante que, uma vez registrados, os dados não possam ser alterados ou removidos, fornecendo aos invasores uma plataforma persistente e confiável para suas operações, que não está sujeita aos procedimentos típicos de remoção direcionados a servidores centralizados. O EtherHiding foi observado pela primeira vez em 2023 durante uma campanha conhecida como ClearFake, onde cibercriminosos com motivações financeiras usaram avisos falsos de atualização do navegador para atrair vítimas. O conceito subjacente envolve o armazenamento de códigos ou comandos maliciosos em uma transação blockchain ou, mais comumente, em um contrato inteligente. Os invasores então recuperam essas informações usando chamadas somente leitura para o blockchain. Como essas chamadas não gravam novos dados nem transferem ativos, elas não criam transações visíveis no livro-razão público. Essa furtividade permite que o malware receba instruções sem deixar um rastro claro para os analistas de segurança. Como resultado, os defensores não podem depender de indicadores tradicionais de comprometimento, como domínios maliciosos ou endereços IP, que são fundamentais para a detecção e bloqueio de ameaças convencionais. O relatório afirma que enquanto o blockchain permanecer operacional, o “código malicioso permanecerá acessível”. Os pesquisadores identificaram que os dois grupos adaptaram o EtherHiding para objetivos diferentes. O grupo afiliado à Coreia do Norte, identificado como UNC5342, incorpora a técnica em sofisticadas campanhas de engenharia social projetadas para se infiltrar nas redes de desenvolvedores e empresas de criptomoedas. Em contraste, o grupo UNC5142, com orientação financeira, emprega EtherHiding para facilitar a distribuição generalizada de malware que rouba informações, comprometendo um grande número de sites WordPress. O grupo de ameaça norte-coreano UNC5342 integrou a técnica EtherHiding em uma operação mais ampla que Redes Palo Alto anteriormente chamada de campanha Entrevista Contagiosa. Esta campanha envolve táticas de engenharia social em que os invasores se fazem passar por recrutadores em sites de redes profissionais como o LinkedIn e vários painéis de empregos. Eles abordam desenvolvedores de software com ofertas de emprego fraudulentas de empresas fabricadas, sendo “BlockNovas LLC” e “Angeloper Agency” dois exemplos de nomes de empresas falsos usados. Os atacantes pretendem construir um relacionamento com seus alvos antes de movê-los para o próximo estágio do ataque. Depois de estabelecer o contato inicial, os atores por trás do UNC5342 atrairiam os desenvolvedores-alvo para entrevistas encenadas realizadas em aplicativos de mensagens criptografadas, como Telegram e Discord. Durante o que foi apresentado como uma avaliação técnica ou desafio de codificação, as vítimas foram instruídas a baixar e executar arquivos de repositórios públicos no GitHub ou npm. Esses arquivos supostamente faziam parte do processo de entrevista, mas continham secretamente cargas de malware. As principais famílias de malware identificadas nesta campanha são JadeSnow, um downloader, e InvisibleFerret, um backdoor. Ambas as ferramentas maliciosas são projetadas para usar EtherHiding para suas comunicações de comando e controle, conectando-se a contratos inteligentes controlados pelo invasor implantados nas redes Ethereum e BNB Smart Chain para receber instruções. A cadeia de infecção iniciada por UNC5342 é metódica. O downloader JadeSnow é o primeiro componente a ser executado no sistema da vítima. Ele é programado para consultar contratos inteligentes específicos no blockchain para buscar cargas JavaScript criptografadas. Essas cargas, uma vez descriptografadas, são responsáveis por entregar o backdoor principal, o InvisibleFerret. Depois que o malware InvisibleFerret é instalado e ativo em uma máquina comprometida, ele concede aos invasores uma ampla gama de recursos. Isso inclui a capacidade de exfiltrar dados confidenciais, capturar credenciais de usuários e exercer controle remoto sobre o sistema infectado. Em alguns casos observados, os pesquisadores observaram que o InvisibleFerret implantou um módulo adicional de roubo de credenciais projetado especificamente para navegadores da web e carteiras de criptomoedas populares, como MetaMask e Phantom. Os dados roubados por meio dessas atividades são então exfiltrados para servidores controlados pelo invasor e também enviados para canais privados do Telegram. A campanha serve um duplo propósito para o regime norte-coreano: gerar receitas ilícitas através do roubo de criptomoedas e recolher informações estratégicas dos desenvolvedores comprometidos e dos seus empregadores. Em uma investigação separada, o Google Mandiant detalhou as atividades do UNC5142, um ator de ameaças com motivação financeira que também depende do EtherHiding. O objetivo principal deste grupo é infectar um grande número de sites para distribuir diversas famílias de malware que rouba informações. O método do grupo envolve comprometer sites WordPress que apresentam vulnerabilidades de segurança e injetar neles downloaders maliciosos de JavaScript, que são chamados coletivamente de ClearShort. Esses scripts são projetados para usar contratos inteligentes na BNB Smart Chain como uma camada de controle resiliente, buscando cargas úteis de segundo estágio ou redirecionando as vítimas para páginas de destino hospedadas pelo invasor. A infraestrutura operacional do UNC5142 é notável pelo uso extensivo de serviços legítimos para mascarar suas atividades maliciosas. O grupo hospeda suas páginas de destino maliciosas no serviço pages.dev da Cloudflare, fazendo com que o tráfego pareça mais legítimo, enquanto as principais informações de comando e controle são armazenadas no blockchain. Em meados de 2025, a equipe do Google identificou vestígios de scripts injetados pelo UNC5142 em aproximadamente 14.000 sites distintos. A arquitetura do grupo também evoluiu, passando de um único contrato inteligente para um sistema mais complexo de três camadas que imita um “padrão de proxy” de software. Essa estrutura avançada consiste em um contrato de roteador que direciona o tráfego, um contrato de impressão digital para traçar o perfil do sistema da vítima e um contrato de carga útil que armazena dados criptografados e chaves de descriptografia. Esse design permite que os invasores atualizem sua infraestrutura, como URLs de isca ou chaves de criptografia, em milhares de sites infectados simultaneamente por meio de uma única transação blockchain, que pode custar apenas um dólar em taxas de rede. Para entregar suas cargas finais, o UNC5142 emprega táticas de engenharia social, como a exibição de páginas falsas de verificação da Cloudflare ou avisos fraudulentos de atualização do navegador Chrome. Essas iscas são projetadas para persuadir as vítimas a executar comandos maliciosos, normalmente ocultos no que parece ser uma ação legítima. A execução bem-sucedida leva à entrega de potentes infostealers, incluindo Vidar, Lummac.V2 e RadThief. As campanhas do grupo demonstram uma clara progressão na sofisticação técnica, com uma mudança em direção a padrões de criptografia mais fortes, como AES-GCM e técnicas de ofuscação mais avançadas. Em um exemplo documentado, o JavaScript do invasor buscou HTML criptografado da Cloudflare, que foi então descriptografado no lado do cliente. Essa página descriptografada solicitava que o usuário executasse um comando oculto do PowerShell que baixava a carga final, geralmente disfarçada como um arquivo de mídia benigno. A análise das transações blockchain revelou que o UNC5142 mantinha pelo menos duas infraestruturas paralelas, que os pesquisadores apelidaram de Principal e Secundária. Ambos usaram código de contrato inteligente idêntico e foram financiados por carteiras de criptomoedas vinculadas por meio da bolsa OKX. Os invasores foram observados atualizando ambas as infraestruturas com poucos minutos de diferença, uma ação que sugere fortemente o controle coordenado por um único ator organizado. A pesquisa destaca que nem o UNC5342 nem o UNC5142 interagem diretamente com os nós do blockchain. Em vez disso, eles dependem de serviços centralizados, como terminais públicos de Chamada de Procedimento Remoto (RPC) ou provedores de API terceirizados, para buscar dados do blockchain. Esta dependência cria o que os investigadores chamam de “pontos de observação e controlo”, onde os defensores ou prestadores de serviços poderiam potencialmente intervir. No caso do UNC5342, os pesquisadores contataram vários fornecedores de API que estavam sendo usados na campanha. A resposta foi inconsistente; embora alguns provedores tenham agido rapidamente para bloquear a atividade maliciosa, outros não o fizeram. Esta cooperação desigual, disseram os investigadores, “aumenta o risco desta técnica proliferar entre os actores da ameaça”. A natureza inerente dos contratos inteligentes representa um desafio significativo, uma vez que são públicos e imutáveis. Uma vez implantado, seu código não pode ser removido ou bloqueado pelas equipes de segurança, mesmo que seja sinalizado como malicioso. Os filtros de segurança baseados em rede, projetados para padrões tradicionais de tráfego da Web, lutam para analisar e bloquear com eficácia os padrões descentralizados associados às tecnologias Web3. O anonimato proporcionado pelos endereços de carteiras de criptomoedas, combinado com o custo extremamente baixo das transações blockchain, permite que os atores da ameaça repitam suas táticas rapidamente e sustentem as campanhas indefinidamente. Os pesquisadores estimaram que, para o UNC5142, atualizar toda uma cadeia de distribuição de malware custa entre 25 centavos e US$ 1,50 por transação, proporcionando a esses invasores uma agilidade operacional que ultrapassa a infraestrutura convencional.
