I contratti intelligenti in genere costano meno di 2 dollari per transazione da creare o modificare, un enorme risparmio in termini di fondi e manodopera rispetto ai metodi più tradizionali di distribuzione di malware.
Oltre a EtherHiding, Google ha osservato una campagna di ingegneria sociale che utilizzava il reclutamento per lavori falsi per attirare obiettivi, molti dei quali erano sviluppatori di app di criptovaluta o altri servizi online. Durante il processo di screening, i candidati devono sostenere un test che dimostri le loro capacità di codifica o di revisione del codice. I file richiesti per completare i test sono incorporati con codice dannoso
UNC5342 Diagramma di flusso EtherHiding.
Il processo di infezione si basa su una catena di malware installata in sequenza. I passaggi successivi responsabili dell’esecuzione dei payload finali vengono installati tramite contratti intelligenti che gli hacker archiviano sulle blockchain della catena intelligente Ethereum e BNB, che accettano caricamenti da chiunque.
Uno dei gruppi monitorati da Google, un gruppo sostenuto dalla Corea del Nord e tracciato come UNC5342, ha utilizzato malware in fase precedente tracciato come JadeSnow per recuperare malware in fase successiva sia dalla blockchain di BNB che da quella di Ethereum. I ricercatori di Google hanno osservato:
È insolito che un autore di minacce utilizzi più blockchain per attività di etherhiding; Ciò potrebbe indicare una compartimentazione operativa tra i team di operatori informatici nordcoreani. Infine, le campagne spesso sfruttano la natura flessibile dell’etherhiding per aggiornare le catene di trasmissione e modificare le posizioni di consegna del carico utile. In una transazione, il downloader JADESNOW può passare dal recupero di un payload in Ethereum al recupero sulla catena intelligente BNB. Questo passaggio non solo complica l’analisi, ma beneficia anche delle tariffe di transazione più basse offerte da reti alternative
I ricercatori hanno affermato di aver osservato anche un altro gruppo, UNC5142 motivato finanziariamente, che utilizzava anche EtherHiding.
Un tempo le capacità di hacking della Corea del Nord erano considerate di basso calibro. Negli ultimi dieci anni, il Paese ha organizzato una serie di operazioni offensive di alto profilo che dimostrano capacità, concentrazione e risorse crescenti. Due settimane fa, la società di analisi blockchain Elliptic disse Finora nel 2025 il paese ha rubato più di 2 miliardi di dollari in criptovalute.
