Investigadores de Google Threat Intelligence Group (GTIG) alertan de que la agrupación norcoreana UNC5342 emplea desde febrero de 2025 la técnica EtherHiding para alojar y distribuir malware a través de smart contracts en cadenas públicas. La campaña, bautizada Contagious Interview, tiene como objetivo el robo de criptoactivos y credenciales y supone el primer uso documentado de esta técnica por un actor respaldado por un Estado, según GTIG.
EtherHiding: qué es y por qué complica la defensa
Descrita por Guardio Labs en 2023, EtherHiding consiste en incrustar cargas maliciosas dentro del bytecode o el estado de smart contracts en Ethereum o BNB Smart Chain. Los atacantes recuperan el código a demanda mediante read-only calls (por ejemplo, eth_call), que no generan transacciones ni trazas públicas visibles. Esta mecánica aporta anonimato operacional, resistencia frente a bloqueos de dominios/IP y permite actualizar picos de campaña sin necesidad de servidores de mando y control tradicionales.
La naturaleza descentralizada de las cadenas y el acceso de solo lectura elevan el umbral para la takedown y reducen la eficacia de listas de bloqueo. Como resultado, la detección debe pivotar hacia telemetría en el host y control de salidas (egress) en lugar de apoyarse en indicadores de red estáticos.
Tácticas de UNC5342: entrevistas falsas y cadena de infección
Acceso inicial: pruebas técnicas para desarrolladores
UNC5342 recurre a supuestas empresas como BlockNovas LLC, Angeloper Agency y SoftGlide LLC para contactar a desarrolladores. El “reto técnico” entregado incluye código que activa un loader en JavaScript, explotando la confianza del proceso de selección y la práctica habitual de ejecutar scripts de terceros para demostrar habilidades.
Entrega de cargas: JADESNOW e InvisibleFerret
Los atacantes alojan el loader JADESNOW en un contrato inteligente y lo usan para recuperar desde la cadena el payload de tercera etapa: una versión en JavaScript del malware InvisibleFerret, orientado a espionaje persistente. La carga se ejecuta en memoria, puede descargar módulos para robo de credenciales y exfiltrar archivos tanto a servidores externos como a Telegram. GTIG señala una rotación entre Ethereum y BNB Smart Chain, junto con más de 20 actualizaciones del contrato en los cuatro primeros meses; el coste medio de gas por actualización fue de ~$1,37, lo que facilita iteraciones rápidas y económicas.
Objetivos y alcance del daño
El componente de credential theft apunta a contraseñas, datos de pago y monederos como MetaMask y Phantom, además de información almacenada en navegadores como Chrome y Edge. Para las organizaciones, los riesgos incluyen compromiso de cuentas corporativas, fuga de código fuente y pérdidas financieras por robo de criptoactivos, con especial impacto en equipos con acceso a infraestructura blockchain, DevOps y pipelines CI/CD.
Por qué el “hosting en blockchain” reta a los defensores
Los contratos en cadenas públicas se asemejan a un hosting “a prueba de derribos”: es complejo bloquearlos a nivel de DNS o IP y los read-only calls dejan poca huella. La estrategia multichain diluye la utilidad de IoCs específicos. En este contexto, resultan críticos el análisis de comportamiento, la inspección de scripts y la supervisión de llamadas a RPC públicos desde estaciones de trabajo y entornos de desarrollo.
Medidas recomendadas para reducir el riesgo
Para candidatos y equipos de desarrollo: ejecutar pruebas técnicas en VMs/contenedores aislados, sin acceso a credenciales ni monederos; deshabilitar o eliminar extensiones de wallet en perfiles usados para pruebas; analizar archivos y scripts en sandbox y con escáneres estáticos.
Para SOC/Blue Team: reforzar EDR/NGAV con políticas para comportamiento de JavaScript/WScript/Node.js; monitorear llamadas a eth_call y lectura de contratos en Ethereum/BNB desde endpoints corporativos; aplicar egress filtering y DLP para contener la exfiltración (incluido Telegram API); segmentar cuentas de desarrolladores y aplicar mínimo privilegio.
Para RR. HH. y procesos de selección: estandarizar la evaluación con plantillas internas en lugar de código externo; canalizar cualquier material de terceros a través de gateways seguros y sandboxes antes de su ejecución.
El salto de UNC5342 a EtherHiding evidencia la rápida adopción de nichos tecnológicos por actores avanzados. Priorizar entornos de prueba aislados, monitoreo de llamadas RPC y detecciones basadas en comportamiento reducirá la probabilidad de compromiso de credenciales y robo de criptoactivos. Es momento de revisar políticas, capacitar a los equipos técnicos y fortalecer la visibilidad sobre scripting y tráfico saliente en entornos de desarrollo.
