Hackers norcoreanos utilizan blockchain como arma en una nueva campaña llamada 'EtherHiding'

Una nueva amenaza cibernética está surgiendo desde Corea del Norte, ya que sus hackers respaldados por el estado están experimentando con la inserción de código malicioso directamente en redes blockchain.

El Grupo de Inteligencia de Amenazas de Google (GTIG) informó el 17 de octubre que la técnica, llamada EtherHiding, marca una nueva evolución en la forma en que los hackers ocultan, distribuyen y controlan malware a través de sistemas descentralizados.

¿Qué es EtherHiding?

GTIG explicó que EtherHiding permite a los atacantes convertir en armas los smart contracts y blockchains públicas como Ethereum y BNB Smart Chain, utilizándolas para almacenar cargas maliciosas.

Una vez que una pieza de código es subida a estos libros de contabilidad descentralizados, eliminarla o bloquearla se vuelve casi imposible debido a su naturaleza inmutable.

“Aunque los smart contracts ofrecen formas innovadoras de construir aplicaciones descentralizadas, su naturaleza inalterable es aprovechada en EtherHiding para alojar y servir código malicioso de una manera que no puede ser bloqueada fácilmente”, escribió GTIG.

En la práctica, los hackers comprometen sitios web legítimos de WordPress, a menudo explotando vulnerabilidades sin parchear o credenciales robadas.

Después de obtener acceso, insertan unas pocas líneas de JavaScript—conocidas como un “loader”—en el código del sitio web. Cuando un visitante abre la página infectada, el loader se conecta silenciosamente a la blockchain y recupera el malware desde un servidor remoto.

EtherHiding en BNB Chain y Ethereum. Fuente: Google Threat Intelligence Group

GTIG señaló que este ataque a menudo no deja rastro visible de transacción y requiere pocas o ninguna comisión porque ocurre fuera de la cadena. Esto, en esencia, permite a los atacantes operar sin ser detectados.

Es notable que GTIG rastreó la primera instancia de EtherHiding a septiembre de 2023, cuando apareció en una campaña conocida como CLEARFAKE, que engañaba a los usuarios con falsas alertas de actualización del navegador.

Cómo prevenir el ataque

Investigadores de ciberseguridad dicen que esta táctica señala un cambio en la estrategia digital de Corea del Norte, pasando de simplemente robar criptomonedas a usar la propia blockchain como un arma sigilosa.

“EtherHiding representa un cambio hacia el alojamiento a prueba de balas de próxima generación, donde las características inherentes de la tecnología blockchain se reutilizan con fines maliciosos. Esta técnica subraya la continua evolución de las amenazas cibernéticas a medida que los atacantes se adaptan y aprovechan nuevas tecnologías a su favor”, afirmó GTIG.

John Scott-Railton, investigador senior en Citizen Lab, describió EtherHiding como un “experimento en una etapa temprana”. Advirtió que combinarlo con la automatización impulsada por IA podría hacer que los ataques futuros sean mucho más difíciles de detectar.

“Espero que los atacantes también experimenten con la carga directa de exploits de zero click en blockchains dirigidos a sistemas y aplicaciones que procesan blockchains… especialmente si a veces se alojan en los mismos sistemas y redes que manejan transacciones o tienen wallets”, añadió.

Este nuevo vector de ataque podría tener graves implicaciones para la industria cripto, considerando que los atacantes norcoreanos son significativamente prolíficos.

Datos de TRM Labs muestran que los grupos vinculados a Corea del Norte ya han robado más de $1.5 billions en criptoactivos solo este año. Los investigadores creen que esos fondos ayudan a financiar los programas militares de Pyongyang y los esfuerzos para evadir sanciones internacionales.

Dado esto, GTIG aconsejó a los usuarios de criptomonedas reducir su riesgo bloqueando descargas sospechosas y restringiendo scripts web no autorizados. El grupo también instó a los investigadores de seguridad a identificar y etiquetar el código malicioso incrustado dentro de las redes blockchain.