Hackers de la DPRK usan 'EtherHiding' para alojar malware en las blockchains de Ethereum y BNB, según Google

El Grupo de Inteligencia de Amenazas de Google ha advertido que Corea del Norte está utilizando EtherHiding—un malware que se oculta en smart contracts de blockchain y permite el robo de criptomonedas—en sus operaciones de ciberataques, mientras que 2025 parece estar encaminado a ser un año récord para los robos de cripto por parte de este estado rebelde.

Aunque los investigadores de Google dijeron que EtherHiding ha sido utilizado por actores de amenazas motivados financieramente que abusan de la blockchain para distribuir infostealers desde al menos septiembre de 2023, esta es la primera vez que observan su uso por parte de un estado nación. El malware es particularmente resistente a los métodos convencionales de eliminación y bloqueo.

“EtherHiding presenta nuevos desafíos ya que las campañas tradicionales suelen ser detenidas bloqueando dominios e IPs conocidos”, dijeron los investigadores en una publicación de blog, señalando especialmente a los smart contracts en BNB Smart Chain y Ethereum como anfitriones de código malicioso. Los autores del malware podrían “aprovechar la blockchain para realizar etapas adicionales de propagación del malware, ya que los smart contracts operan de forma autónoma y no pueden ser cerrados”, agregaron.

Aunque los investigadores de seguridad pueden alertar a la comunidad etiquetando un contrato como malicioso en los escáneres oficiales de blockchain, señalaron que “la actividad maliciosa aún puede llevarse a cabo”.

La amenaza de los hackers norcoreanos

Los hackers norcoreanos han robado más de 2 mil millones de dólares en lo que va del año, la mayor parte proveniente del ataque de 1.46 mil millones de dólares al exchange de criptomonedas Bybit en febrero, según un informe de octubre de la firma de análisis blockchain Elliptic.

La República Popular Democrática de Corea también ha sido responsabilizada por ataques a LND.fi, WOO X y Seedify, así como otros treinta hacks, llevando el monto total robado por el país hasta la fecha a más de 6 mil millones de dólares. Según agencias de inteligencia, estos fondos ayudan a financiar los programas de armas nucleares y misiles del país.

Obtenidos a través de una combinación de ingeniería social, despliegue de malware y sofisticada ciberespionaje, Corea del Norte ha desarrollado una mezcla de tácticas para acceder a los sistemas financieros o datos sensibles de empresas. El régimen ha demostrado estar dispuesto a llegar muy lejos para lograrlo, incluyendo la creación de empresas falsas y el targeting de desarrolladores con ofertas de empleo falsas.

Casos reportados a Decrypt también muestran que los grupos de hackers norcoreanos ahora están contratando personas no coreanas como fachada para ayudarlos a pasar entrevistas y conseguir trabajos en empresas de tecnología y cripto, ya que los empleadores se han vuelto más cautelosos con norcoreanos que se hacen pasar por personas de otros países en entrevistas. Los atacantes también pueden atraer a las víctimas a reuniones por video o grabaciones de podcasts falsos en plataformas que luego muestran mensajes de error o solicitan descargas de actualizaciones que contienen código malicioso.

Los hackers norcoreanos también han atacado infraestructura web convencional, subiendo más de 300 paquetes de código malicioso al registro npm, un repositorio de software open-source utilizado por millones de desarrolladores para compartir e instalar software JavaScript.

¿Cómo funciona EtherHiding?

El último giro de Corea del Norte para incluir EtherHiding en su arsenal se remonta a febrero de 2025, y desde entonces Google dijo que ha rastreado a UNC5342—un actor de amenazas norcoreano vinculado al grupo de hackers FamousChollima—incorporando EtherHiding en su campaña de ingeniería social Contagious Interview.

El uso del malware EtherHiding implica incrustar código malicioso en los smart contracts de blockchains públicas, y luego atacar a los usuarios a través de sitios de WordPress infectados con un pequeño fragmento de código JavaScript.

“Cuando un usuario visita el sitio web comprometido, el script loader se ejecuta en su navegador”, explicaron los investigadores de Google. “Este script luego se comunica con la blockchain para recuperar la carga maliciosa principal almacenada en un servidor remoto.”

Agregaron que el malware utiliza una llamada de función de solo lectura (como eth_call), que no crea una transacción en la blockchain. “Esto asegura que la recuperación del malware sea sigilosa y evita tarifas de transacción (es decir, gas fees)”, señalaron. “Una vez obtenida, la carga maliciosa se ejecuta en la computadora de la víctima. Esto puede llevar a diversas actividades maliciosas, como mostrar páginas de inicio de sesión falsas, instalar malware para robar información o desplegar ransomware.”

Los investigadores advirtieron que esto “subraya la continua evolución” de las tácticas de los ciberdelincuentes. “En esencia, EtherHiding representa un cambio hacia el alojamiento a prueba de balas de próxima generación, donde las características inherentes de la tecnología blockchain se reutilizan con fines maliciosos.”