Hackers norcoreanos utilizan la blockchain como arma en una nueva campaña llamada ‘EtherHiding’

Está surgiendo una nueva amenaza cibernética desde Corea del Norte, ya que sus hackers respaldados por el Estado están experimentando con la inserción de código malicioso directamente en redes blockchain.

El Grupo de Inteligencia de Amenazas de Google (GTIG) informó el 17 de octubre que esta técnica, llamada EtherHiding, marca una nueva evolución en la forma en que los hackers ocultan, distribuyen y controlan malware a través de sistemas descentralizados.

¿Qué es EtherHiding?

GTIG explicó que EtherHiding permite a los atacantes utilizar contratos inteligentes y blockchains públicas como Ethereum y BNB Smart Chain para almacenar cargas maliciosas.

Una vez que un fragmento de código es subido a estos libros contables descentralizados, eliminarlo o bloquearlo se vuelve casi imposible debido a su naturaleza inmutable.

“Aunque los contratos inteligentes ofrecen formas innovadoras de construir aplicaciones descentralizadas, su naturaleza inalterable es aprovechada en EtherHiding para alojar y servir código malicioso de una manera que no puede ser fácilmente bloqueada”, escribió GTIG.

En la práctica, los hackers comprometen sitios web legítimos de WordPress, a menudo explotando vulnerabilidades sin parchear o credenciales robadas.

Después de obtener acceso, insertan unas pocas líneas de JavaScript—conocidas como “loader”—en el código del sitio web. Cuando un visitante abre la página infectada, el loader se conecta silenciosamente a la blockchain y recupera el malware desde un servidor remoto.

EtherHiding en BNB Chain y Ethereum. Fuente: Google Threat Intelligence Group

GTIG señaló que este ataque a menudo no deja un rastro visible de transacciones y requiere pocas o ninguna comisión porque ocurre fuera de la cadena. Esto, en esencia, permite a los atacantes operar sin ser detectados.

Es notable que GTIG rastreó la primera instancia de EtherHiding a septiembre de 2023, cuando apareció en una campaña conocida como CLEARFAKE, que engañaba a los usuarios con falsas alertas de actualización de navegador.

Cómo prevenir el ataque

Investigadores en ciberseguridad dicen que esta táctica señala un cambio en la estrategia digital de Corea del Norte, pasando de simplemente robar criptomonedas a utilizar la blockchain en sí como un arma sigilosa.

“EtherHiding representa un cambio hacia el alojamiento a prueba de balas de próxima generación, donde las características inherentes de la tecnología blockchain se reutilizan con fines maliciosos. Esta técnica subraya la continua evolución de las amenazas cibernéticas a medida que los atacantes se adaptan y aprovechan nuevas tecnologías a su favor”, afirmó GTIG.

John Scott-Railton, investigador senior en Citizen Lab, describió EtherHiding como un “experimento en etapa temprana”. Advirtió que combinarlo con automatización impulsada por IA podría hacer que futuros ataques sean mucho más difíciles de detectar.

“Espero que los atacantes también experimenten con cargar directamente exploits de zero click en blockchains dirigidos a sistemas y aplicaciones que procesan blockchains... especialmente si a veces están alojados en los mismos sistemas y redes que manejan transacciones o tienen wallets”, agregó.

Este nuevo vector de ataque podría tener graves implicancias para la industria cripto, considerando que los atacantes norcoreanos son sumamente prolíficos.

Datos de TRM Labs muestran que los grupos vinculados a Corea del Norte ya han robado más de 1.5 billones de dólares en criptoactivos solo en lo que va del año. Los investigadores creen que esos fondos ayudan a financiar los programas militares de Pyongyang y los esfuerzos para evadir sanciones internacionales.

Ante esto, GTIG aconsejó a los usuarios de criptomonedas reducir su riesgo bloqueando descargas sospechosas y restringiendo scripts web no autorizados. El grupo también instó a los investigadores de seguridad a identificar y etiquetar el código malicioso incrustado dentro de las redes blockchain.