Ten minste twee verschillende hackorganisaties, waaronder a Noord-Koreaanse staatsacteur en een financieel gemotiveerde criminele groepmaken gebruik van openbare blockchains om malware te verbergen en te beheren, blijkt uit onderzoek van de Threat Intelligence Group van Google. Deze methode maakt hun activiteiten zeer resistent tegen conventionele verwijderingsinspanningen. De techniek, die onderzoekers EtherHiding hebben genoemd, verandert fundamenteel de manier waarop aanvallers kwaadaardige code beheren en inzetten door instructies in slimme contracten op openbare blockchains in te sluiten in plaats van te vertrouwen op conventionele command-and-control-servers. Deze aanpak maakt gebruik van de gedecentraliseerde en onveranderlijke kenmerken van blockchain-technologie om te creëren wat het onderzoek beschrijft als een ‘kogelvrije’ infrastructuur. Robert Wallace, een consultancyleider bij Mandiant, een onderdeel van Google Cloud, typeerde de ontwikkeling als een “escalatie in het dreigingslandschap.” Hij merkte op dat hackers een methode hebben ontwikkeld die ‘bestand is tegen verwijderingen door wetshandhavers’ en ‘gemakkelijk kan worden aangepast voor nieuwe campagnes’. Het kernontwerp van de blockchain zorgt ervoor dat zodra gegevens zijn vastgelegd, deze niet meer kunnen worden gewijzigd of verwijderd, waardoor aanvallers een persistent en betrouwbaar platform krijgen voor hun activiteiten dat niet onderworpen is aan de typische verwijderingsprocedures die gericht zijn op gecentraliseerde servers. EtherHiding werd voor het eerst waargenomen in 2023 tijdens een campagne die bekend staat als ClearFake, waarbij cybercriminelen met financiële motieven valse browserupdate-aanwijzingen gebruikten om slachtoffers te lokken. Het onderliggende concept omvat het opslaan van kwaadaardige code of opdrachten binnen een blockchain-transactie of, vaker, een slim contract. Aanvallers halen deze informatie vervolgens op met behulp van alleen-lezen-aanroepen naar de blockchain. Omdat deze oproepen geen nieuwe gegevens schrijven of activa overdragen, creëren ze geen zichtbare transacties in het grootboek. Door deze stealth kan de malware instructies ontvangen zonder een duidelijk spoor achter te laten voor beveiligingsanalisten. Als gevolg hiervan kunnen verdedigers niet afhankelijk zijn van traditionele indicatoren van compromissen, zoals kwaadaardige domeinen of IP-adressen, die van cruciaal belang zijn voor de conventionele detectie en blokkering van bedreigingen. Het rapport stelt dat zolang de blockchain operationeel blijft, de ‘kwaadaardige code toegankelijk blijft’. Onderzoekers stelden vast dat de twee groepen EtherHiding voor verschillende doeleinden aanpasten. De aan Noord-Korea gelieerde groep, bijgehouden als UNC5342, integreert de techniek in geavanceerde social engineering-campagnes die zijn ontworpen om de netwerken van ontwikkelaars en cryptocurrency-bedrijven te infiltreren. De financieel gedreven groep UNC5142 maakt daarentegen gebruik van EtherHiding om de wijdverbreide verspreiding van informatiestelende malware te vergemakkelijken door een groot aantal WordPress-websites in gevaar te brengen. De Noord-Koreaanse dreigingsgroep UNC5342 integreerde de EtherHiding-techniek in een bredere operatie Palo Alto-netwerken voorheen de Contagious Interview-campagne genoemd. Deze campagne maakt gebruik van social engineering-tactieken waarbij de aanvallers zich voordoen als recruiters op professionele netwerksites zoals LinkedIn en verschillende vacaturesites. Ze benaderen softwareontwikkelaars met frauduleuze vacatures van verzonnen bedrijven, waarbij “BlockNovas LLC” en “Angeloper Agency” twee voorbeelden zijn van de gebruikte valse bedrijfsnamen. De aanvallers streven ernaar een band met hun doelwitten op te bouwen voordat ze naar de volgende fase van de aanval gaan. Na het eerste contact te hebben gelegd, lokten de actoren achter UNC5342 de beoogde ontwikkelaars naar geënsceneerde interviews die werden afgenomen via gecodeerde berichtentoepassingen zoals Telegram en Discord. Tijdens wat werd gepresenteerd als een technische beoordeling of codeeruitdaging, kregen de slachtoffers de opdracht om bestanden uit openbare opslagplaatsen op GitHub of npm te downloaden en uit te voeren. Deze bestanden zouden deel uitmaken van het interviewproces, maar bevatten in het geheim malware. De belangrijkste malwarefamilies die in deze campagne worden geïdentificeerd zijn JadeSnow, een downloader, en InvisibleFerret, een achterdeur. Beide kwaadaardige tools zijn ontworpen om EtherHiding te gebruiken voor hun command-and-control-communicatie, waarbij ze verbinding maken met door de aanvaller bestuurde slimme contracten die zijn ingezet op zowel het Ethereum- als het BNB Smart Chain-netwerk om instructies te ontvangen. De door UNC5342 geïnitieerde infectieketen is methodisch. De JadeSnow-downloader is het eerste onderdeel dat op het systeem van een slachtoffer wordt uitgevoerd. Het is geprogrammeerd om specifieke slimme contracten op de blockchain op te vragen om gecodeerde JavaScript-payloads op te halen. Deze payloads zijn, zodra ze zijn gedecodeerd, verantwoordelijk voor het leveren van de belangrijkste achterdeur, InvisibleFerret. Zodra de InvisibleFerret-malware is geïnstalleerd en actief is op een gecompromitteerde machine, biedt het de aanvallers een breed scala aan mogelijkheden. Deze omvatten de mogelijkheid om gevoelige gegevens te exfiltreren, gebruikersgegevens vast te leggen en controle op afstand over het geïnfecteerde systeem uit te oefenen. In sommige waargenomen gevallen merkten onderzoekers op dat InvisibleFerret een extra module voor het stelen van inloggegevens had ingezet, specifiek ontworpen om zich te richten op webbrowsers en populaire cryptocurrency-portefeuilles zoals MetaMask en Phantom. De gegevens die via deze activiteiten worden gestolen, worden vervolgens geëxfiltreerd naar door de aanvaller gecontroleerde servers en ook naar privé Telegram-kanalen gestuurd. De campagne dient een tweeledig doel voor het Noord-Koreaanse regime: het genereren van illegale inkomsten door diefstal van cryptocurrency en het verzamelen van strategische informatie van de gecompromitteerde ontwikkelaars en hun werkgevers. In een afzonderlijk onderzoek heeft Google Mandiant de activiteiten van UNC5142 gedetailleerd beschreven, een financieel gemotiveerde bedreigingsacteur die ook afhankelijk is van EtherHiding. Het primaire doel van deze groep is het infecteren van een groot aantal websites om verschillende families van informatiestelende malware te verspreiden. De methode van de groep omvat het compromitteren van WordPress-sites met beveiligingsproblemen en het injecteren ervan met kwaadaardige JavaScript-downloaders, die gezamenlijk ClearShort worden genoemd. Deze scripts zijn ontworpen om slimme contracten op de BNB Smart Chain te gebruiken als een veerkrachtige controlelaag, waarbij payloads uit de tweede fase worden opgehaald of slachtoffers worden omgeleid naar door de aanvaller gehoste landingspagina’s. De operationele infrastructuur van UNC5142 valt op door het uitgebreide gebruik van legitieme diensten om zijn kwaadaardige activiteiten te maskeren. De groep host zijn kwaadaardige landingspagina’s op de Pages.dev-service van Cloudflare, waardoor het verkeer legitiemer lijkt, terwijl de belangrijkste commando- en controle-informatie op de blockchain wordt opgeslagen. Medio 2025 had het team van Google sporen van de geïnjecteerde scripts van UNC5142 op ongeveer 14.000 verschillende websites geïdentificeerd. De architectuur van de groep evolueerde ook en verschoof van een enkel slim contract naar een complexer systeem met drie lagen dat een software-‘proxy-patroon’ nabootst. Deze geavanceerde structuur bestaat uit een routercontract dat het verkeer regelt, een vingerafdrukcontract om het systeem van het slachtoffer te profileren, en een payload-contract waarin gecodeerde gegevens en decoderingssleutels worden opgeslagen. Met dit ontwerp kunnen aanvallers hun infrastructuur bijwerken, zoals het lokken van URL’s of coderingssleutels, over duizenden geïnfecteerde sites tegelijk via een enkele blockchain-transactie, die slechts één dollar aan netwerkkosten kan kosten. Om de laatste lading te leveren, maakt UNC5142 gebruik van social engineering-tactieken, zoals het weergeven van valse Cloudflare-verificatiepagina’s of frauduleuze update-prompts voor de Chrome-browser. Deze lokmiddelen zijn ontworpen om slachtoffers ervan te overtuigen kwaadaardige opdrachten uit te voeren, meestal verborgen in wat een legitieme actie lijkt. Succesvolle uitvoering leidt tot de levering van krachtige infostealers, waaronder Vidar, Lummac.V2 en RadThief. De campagnes van de groep laten een duidelijke vooruitgang zien in de technische verfijning, met een beweging in de richting van sterkere encryptiestandaarden zoals AES-GCM en meer geavanceerde verduisteringstechnieken. In één gedocumenteerd voorbeeld haalde het JavaScript van de aanvaller gecodeerde HTML op van Cloudflare, die vervolgens aan de clientzijde werd gedecodeerd. Deze gedecodeerde pagina vroeg de gebruiker een verborgen PowerShell-opdracht uit te voeren waarmee de laatste payload werd gedownload, vaak vermomd als een goedaardig mediabestand. Analyse van blockchain-transacties onthulde dat UNC5142 ten minste twee parallelle infrastructuren onderhield, die onderzoekers Main en Secondary noemden. Beiden gebruikten identieke slimme contractcode en werden gefinancierd door cryptocurrency-portefeuilles die waren gekoppeld via de OKX-uitwisseling. Er werd waargenomen dat de aanvallers beide infrastructuren binnen enkele minuten na elkaar aan het updaten waren, een actie die sterk duidt op gecoördineerde controle door één enkele, georganiseerde actor. Het onderzoek benadrukt dat noch UNC5342, noch UNC5142 rechtstreeks interageert met blockchain-knooppunten. In plaats daarvan zijn ze afhankelijk van gecentraliseerde services, zoals openbare Remote Procedure Call (RPC)-eindpunten of externe API-providers, om gegevens uit de blockchain op te halen. Deze afhankelijkheid creëert wat onderzoekers ‘observatie- en controlepunten’ noemen, waar verdedigers of dienstverleners mogelijk zouden kunnen ingrijpen. In het geval van UNC5342 namen onderzoekers contact op met verschillende API-providers die in de campagne werden gebruikt. Het antwoord was inconsistent; terwijl sommige providers snel handelden om de kwaadaardige activiteit te blokkeren, deden anderen dat niet. Deze ongelijke samenwerking, aldus onderzoekers, “vergroot het risico dat deze techniek zich onder bedreigingsactoren verspreidt.” De inherente aard van slimme contracten vormt een aanzienlijke uitdaging, omdat ze zowel openbaar als onveranderlijk zijn. Eenmaal geïmplementeerd kan hun code niet worden verwijderd of geblokkeerd door beveiligingsteams, zelfs als deze als kwaadaardig wordt gemarkeerd. Netwerkgebaseerde beveiligingsfilters, die zijn ontworpen voor traditionele webverkeerspatronen, hebben moeite met het effectief analyseren en blokkeren van de gedecentraliseerde patronen die verband houden met Web3-technologieën. De anonimiteit die wordt geboden door cryptocurrency-portemonnee-adressen, gecombineerd met de extreem lage kosten van blockchain-transacties, stelt bedreigingsactoren in staat hun tactieken snel te herhalen en campagnes voor onbepaalde tijd vol te houden. Onderzoekers schatten dat het updaten van een volledige malware-leveringsketen voor UNC5142 tussen de 25 cent en $1,50 per transactie kost, waardoor deze aanvallers een operationele flexibiliteit krijgen die de conventionele infrastructuur overtreft.
