El grupo coreano UNC5342 esconde malware en blockchain

Una nueva investigación publicada por el Google Threat Intelligence Group (GTIG) detalla el uso de técnicas EtherHiding, por primera vez, por parte de un actor malicioso de un Estado-Nación. Se trata del grupo UNC5342, vinculado con Corea del Norte, y la técnica se ha utilizado en una campaña de ingeniería social, lanzada en el mes de febrero, a la que Palo Alto bautizó descriptivamente como “Contagious Interview” (entrevista contagiosa).

La campaña se dirige al colectivo de desarrolladores, “en particular en los sectores de las criptomonedas y la tecnología, para robar datos sensibles y criptomonedas, así como para lograr acceso persistente a las redes corporativas”. Todo ello mediante un sofisticado sistema de ofertas de trabajo, con proceso de selección incluido y una “infección de malware en varias etapas para comprometer el sistema de la víctima, afectando a sistemas Windows, macOS y Linux”.

Con todo, lo más novedoso es el uso de EtherHiding. La técnica es tan reciente que se descubrió por primera vez en 2023y ahora UNC5342 se desmarca como el primer grupo de su perfil que la utiliza. Como explica GTIG, utiliza “un código malicioso embebido, a menudo en forma de cargas de JavaScript, dentro de un contrato en una blockchain pública como BNB Smart Chain o Ethereum”.

Robert Wallace, consulting leader en Mandiant - Google Cloud y uno de los autores de la investigación, considera que “este avance supone una escalada en el panorama de las amenazas, ya que los actores maliciosos de los Estados-nación están utilizando ahora nuevas técnicas para distribuir malware resistente a las medidas de las fuerzas del orden y que puede modificarse fácilmente para nuevas campañas”.