Los grupos de ciberataque vinculados al régimen de Corea del Norte han dado un paso más en su sofisticación. Según un informe reciente de Google Threat Intelligence Group (GTIG), se ha detectado el uso de una técnica innovadora llamada EtherHiding, mediante la cual los atacantes ocultan malware dentro de contratos inteligentes en blockchain públicas, como BNB Smart Chain o Ethereum.
Esta es la primera vez que se documenta el uso de EtherHiding por un grupo de hackers patrocinado por un Estado, lo que marca una nueva etapa en la evolución del cibercrimen global y eleva el riesgo para los usuarios y empresas que operan en el entorno cripto.
Una operación atribuida a un grupo norcoreano
Los investigadores atribuyen esta actividad al grupo UNC5342, también conocido por distintos nombres según las firmas de ciberseguridad: CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), Famous Chollima (CrowdStrike) o Void Dokkaebi (Trend Micro). Todos estos alias hacen referencia al mismo conjunto de atacantes vinculados a Corea del Norte.
El uso de EtherHiding se enmarca dentro de una campaña más amplia llamada Contagious Interview, activa desde hace meses. En ella, los hackers se hacen pasar por reclutadores en LinkedIn o gerentes de recursos humanos que ofrecen oportunidades laborales atractivas, especialmente a desarrolladores de software.
Una vez que ganan la confianza de la víctima, trasladan la conversación a Telegram o Discord, donde solicitan la descarga de una supuesta “prueba técnica” o “evaluación de código”. Ese archivo contiene el malware inicial que da comienzo al ataque.
El objetivo final es claro: acceder a los equipos de los desarrolladores, robar criptomonedas y credenciales y, en algunos casos, espiar información sensible. Esta estrategia combina ingeniería social, desarrollo técnico avanzado y motivaciones tanto financieras como políticas.
Qué es EtherHiding y cómo funciona
La técnica EtherHiding aprovecha las características de las blockchains públicas para esconder código malicioso en contratos inteligentes (smart contracts).
En lugar de almacenar el malware en servidores tradicionales, los atacantes insertan fragmentos del código dentro de un contrato inteligente, que se aloja en una blockchain como BNB Smart Chain o Ethereum.
De esta forma, la red blockchain actúa como un “repositorio descentralizado” imposible de eliminar, ya que los datos quedan grabados de manera permanente en los bloques de la cadena.
Los investigadores de Google descubrieron que UNC5342 empezó a usar EtherHiding desde febrero de 2025, aprovechando esta infraestructura para distribuir actualizaciones del malware y controlar el flujo de datos robados.
Títulos similares: Récord de ciberataques de Corea del Norte en 2023
Una técnica casi imposible de eliminar
EtherHiding se considera una de las tácticas más complejas y peligrosas del momento por varias razones:
- Descentralización total: al usar la blockchain, no hay un servidor central que pueda ser cerrado por las autoridades.
- Anonimato: las transacciones en blockchain son seudónimas, lo que dificulta rastrear quién creó el contrato malicioso.
- Actualizaciones dinámicas: los hackers pueden modificar el código del malware en tiempo real, pagando apenas 1,37 dólares en tarifas de gas, lo que les permite cambiar su comportamiento sin perder acceso a la red.
- Resistencia a la eliminación: una vez implantado, el contrato permanece accesible para siempre, incluso si se identifican las direcciones implicadas.
Como señaló Robert Wallace, líder de consultoría en Mandiant (Google Cloud):
“Estamos ante una escalada seria. Los actores patrocinados por Estados están utilizando nuevas técnicas para distribuir malware resistente a la eliminación y adaptable a futuras campañas.”
La cadena de infección: del LinkedIn al robo de criptomonedas
La campaña detectada por Google combina ingeniería social, múltiples capas de malware y persistencia avanzada.
El proceso completo se desarrolla en varias etapas:
- Contacto inicial: el atacante se presenta en LinkedIn como reclutador de una empresa tecnológica y propone una prueba de código.
- Entrega del malware: la víctima recibe un archivo o paquete npm que contiene un descargador inicial.
- Robo de información: este archivo instala un componente llamado BeaverTail, un ladrón de JavaScript que extrae datos sensibles, como monederos de criptomonedas, contraseñas y cookies del navegador.
- Descarga de componentes adicionales: otro módulo, JADESNOW, utiliza EtherHiding para obtener el siguiente payload: InvisibleFerret.
- Control remoto y espionaje: InvisibleFerret, escrito en Python, permite el control total del dispositivo infectado, además de acceder a carteras MetaMask, Phantom y gestores de contraseñas como 1Password.
Este enfoque modular permite que el ataque funcione en Windows, macOS y Linux, lo que amplía enormemente su alcance.
La cadena de infección (Fuente: The Hacker News)
Un ataque con fines económicos y políticos
El robo de criptomonedas es una de las principales fuentes de ingreso para el régimen norcoreano, que enfrenta duras sanciones internacionales.
En los últimos años, Corea del Norte ha financiado parte de su programa nuclear y militar mediante operaciones cibernéticas.
Grupos como Lazarus, APT38 y ahora UNC5342 están detrás de múltiples robos a exchanges y plataformas DeFi. Sin embargo, EtherHiding supone un salto tecnológico: por primera vez, un Estado utiliza blockchain como infraestructura maliciosa.
Con esta técnica, los atacantes no solo buscan dinero: también persiguen acceder a información estratégica de empresas tecnológicas y de defensa, especialmente aquellas que desarrollan software de seguridad o inteligencia artificial.
También podría interesarte: Kimsuky's Golang Stealer: Robos de Golang contra Corea del Sur
Cómo protegerte ante estas nuevas tácticas
Desde TecnetOne, recomendamos a empresas y profesionales de TI reforzar sus defensas y protocolos internos frente a este tipo de amenazas.
Aquí tienes algunas medidas clave:
- Verifica siempre las ofertas laborales
Si recibes una propuesta de empleo a través de LinkedIn o Telegram, confirma la autenticidad del reclutador directamente con la empresa. Nunca descargues archivos ni ejecutes pruebas sin verificar su origen.
- Protege tus wallets y contraseñas
Usa gestores de contraseñas seguros y evita guardar credenciales en navegadores o extensiones. Las wallets de criptomonedas deben estar en dispositivos aislados o hardware wallets.
- Monitorea la actividad de tus endpoints
Configura alertas para detectar ejecución de scripts sospechosos, como PowerShell, y bloquea conexiones a dominios desconocidos o asociados con blockchain.
- Mantén tus sistemas actualizados
Los parches de seguridad reducen la superficie de ataque. Mantén actualizado el software, especialmente los entornos de desarrollo como npm, GitHub, o Visual Studio Code.
- Capacita a tu equipo
La ingeniería social sigue siendo el punto de entrada más común. Educar a tus empleados para detectar señales de engaño es una inversión vital.
La amenaza del “EtherHiding” apenas comienza
Para los expertos, EtherHiding marca un punto de inflexión en la ciberseguridad. Lo que antes era un espacio descentralizado confiable, la blockchain, ahora se ha convertido en un canal perfecto para ocultar código malicioso imposible de eliminar.
Desde TecnetOne, seguimos de cerca estas tendencias y ayudamos a las empresas a proteger sus activos digitales con estrategias integrales de ciberdefensa: detección avanzada de amenazas, auditorías de seguridad y soluciones de respuesta ante incidentes.
La lección es clara: los cibercriminales evolucionan tan rápido como la tecnología que intentamos proteger.
Por eso, con estás nuevas amenazas híbridas, donde el malware vive en la blockchain y el phishing se disfraza de reclutador, la prevención y la visibilidad son tus mejores aliados.
