Los grupos de ciberataque vinculados al régimen de Corea del Norte han dado un paso más en su sofisticación. Según un informe reciente de Google Threat Intelligence Group (GTIG), se ha detectado el uso de una técnica innovadora llamada EtherHiding, mediante la cual los atacantes ocultan malware dentro de contratos inteligentes en blockchain públicas, como BNB Smart Chain o Ethereum.
Esta es la primera vez que se documenta el uso de EtherHiding por un grupo de hackers patrocinado por un Estado, lo que marca una nueva etapa en la evolución del cibercrimen global y eleva el riesgo para los usuarios y empresas que operan en el entorno cripto.
Los investigadores atribuyen esta actividad al grupo UNC5342, también conocido por distintos nombres según las firmas de ciberseguridad: CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), Famous Chollima (CrowdStrike) o Void Dokkaebi (Trend Micro). Todos estos alias hacen referencia al mismo conjunto de atacantes vinculados a Corea del Norte.
El uso de EtherHiding se enmarca dentro de una campaña más amplia llamada Contagious Interview, activa desde hace meses. En ella, los hackers se hacen pasar por reclutadores en LinkedIn o gerentes de recursos humanos que ofrecen oportunidades laborales atractivas, especialmente a desarrolladores de software.
Una vez que ganan la confianza de la víctima, trasladan la conversación a Telegram o Discord, donde solicitan la descarga de una supuesta “prueba técnica” o “evaluación de código”. Ese archivo contiene el malware inicial que da comienzo al ataque.
El objetivo final es claro: acceder a los equipos de los desarrolladores, robar criptomonedas y credenciales y, en algunos casos, espiar información sensible. Esta estrategia combina ingeniería social, desarrollo técnico avanzado y motivaciones tanto financieras como políticas.
La técnica EtherHiding aprovecha las características de las blockchains públicas para esconder código malicioso en contratos inteligentes (smart contracts).
En lugar de almacenar el malware en servidores tradicionales, los atacantes insertan fragmentos del código dentro de un contrato inteligente, que se aloja en una blockchain como BNB Smart Chain o Ethereum.
De esta forma, la red blockchain actúa como un “repositorio descentralizado” imposible de eliminar, ya que los datos quedan grabados de manera permanente en los bloques de la cadena.
Los investigadores de Google descubrieron que UNC5342 empezó a usar EtherHiding desde febrero de 2025, aprovechando esta infraestructura para distribuir actualizaciones del malware y controlar el flujo de datos robados.
Títulos similares: Récord de ciberataques de Corea del Norte en 2023
EtherHiding se considera una de las tácticas más complejas y peligrosas del momento por varias razones:
Como señaló Robert Wallace, líder de consultoría en Mandiant (Google Cloud):
“Estamos ante una escalada seria. Los actores patrocinados por Estados están utilizando nuevas técnicas para distribuir malware resistente a la eliminación y adaptable a futuras campañas.”
La campaña detectada por Google combina ingeniería social, múltiples capas de malware y persistencia avanzada.
El proceso completo se desarrolla en varias etapas:
Este enfoque modular permite que el ataque funcione en Windows, macOS y Linux, lo que amplía enormemente su alcance.
La cadena de infección (Fuente: The Hacker News)
El robo de criptomonedas es una de las principales fuentes de ingreso para el régimen norcoreano, que enfrenta duras sanciones internacionales.
En los últimos años, Corea del Norte ha financiado parte de su programa nuclear y militar mediante operaciones cibernéticas.
Grupos como Lazarus, APT38 y ahora UNC5342 están detrás de múltiples robos a exchanges y plataformas DeFi. Sin embargo, EtherHiding supone un salto tecnológico: por primera vez, un Estado utiliza blockchain como infraestructura maliciosa.
Con esta técnica, los atacantes no solo buscan dinero: también persiguen acceder a información estratégica de empresas tecnológicas y de defensa, especialmente aquellas que desarrollan software de seguridad o inteligencia artificial.
También podría interesarte: Kimsuky's Golang Stealer: Robos de Golang contra Corea del Sur
Desde TecnetOne, recomendamos a empresas y profesionales de TI reforzar sus defensas y protocolos internos frente a este tipo de amenazas.
Aquí tienes algunas medidas clave:
Si recibes una propuesta de empleo a través de LinkedIn o Telegram, confirma la autenticidad del reclutador directamente con la empresa. Nunca descargues archivos ni ejecutes pruebas sin verificar su origen.
Usa gestores de contraseñas seguros y evita guardar credenciales en navegadores o extensiones. Las wallets de criptomonedas deben estar en dispositivos aislados o hardware wallets.
Configura alertas para detectar ejecución de scripts sospechosos, como PowerShell, y bloquea conexiones a dominios desconocidos o asociados con blockchain.
Los parches de seguridad reducen la superficie de ataque. Mantén actualizado el software, especialmente los entornos de desarrollo como npm, GitHub, o Visual Studio Code.
La ingeniería social sigue siendo el punto de entrada más común. Educar a tus empleados para detectar señales de engaño es una inversión vital.
Para los expertos, EtherHiding marca un punto de inflexión en la ciberseguridad. Lo que antes era un espacio descentralizado confiable, la blockchain, ahora se ha convertido en un canal perfecto para ocultar código malicioso imposible de eliminar.
Desde TecnetOne, seguimos de cerca estas tendencias y ayudamos a las empresas a proteger sus activos digitales con estrategias integrales de ciberdefensa: detección avanzada de amenazas, auditorías de seguridad y soluciones de respuesta ante incidentes.
La lección es clara: los cibercriminales evolucionan tan rápido como la tecnología que intentamos proteger.
Por eso, con estás nuevas amenazas híbridas, donde el malware vive en la blockchain y el phishing se disfraza de reclutador, la prevención y la visibilidad son tus mejores aliados.