Финансово мотивированная хакерская группировка UNC5142 использует передовую технику под названием EtherHiding для распространения вредоносного ПО, похищающего информацию. Злоумышленники встраивают вредоносный код в смарт-контракты на блокчейне BNB Smart Chain, а для инициации атак используют взломанные веб-сайты на WordPress. Этот метод обеспечивает их операциям высокую устойчивость к обнаружению и блокировке.
Центральным инструментом в атаках является многоступенчатый загрузчик на JavaScript под названием CLEARSHORT. По оценкам экспертов, CLEARSHORT является вариантом вредоносного фреймворка ClearFake, который активен с июля 2023 года и был проанализирован французской компанией по кибербезопасности Sekoia в марте 2025 года. На целевых страницах используется тактика социальной инженерии ClickFix, принятая на вооружение операторами ClearFake примерно в мае 2024 года, чтобы обманом заставить жертву выполнить вредоносные команды, например, под видом обновления браузера.
Атака начинается с внедрения первой стадии JavaScript-кода CLEARSHORT в скомпрометированный сайт на WordPress, например, в файлы плагинов, тем или напрямую в базу данных. Этот скрипт взаимодействует с вредоносным смарт-контрактом в сети BNB Smart Chain (BSC), также известной как Binance Smart Chain. Смарт-контракт, в свою очередь, извлекает с внешнего сервера URL-адрес целевой страницы CLEARSHORT, которая обычно размещается на странице . С декабря 2024 года эти страницы извлекаются в зашифрованном виде.
После того как пользователь попадает на целевую страницу и поддается на уловку ClickFix, он копирует и вставляет вредоносную команду в свою систему. На системах Windows эта команда загружает и выполняет файл HTML Application (HTA) с URL-адреса MediaFire. Файл HTA создает PowerShell-скрипт для обхода защитных механизмов, который затем извлекает финальную зашифрованную полезную нагрузку с GitHub, MediaFire или собственной инфраструктуры злоумышленников. Вредоносное ПО исполняется непосредственно в памяти, чтобы избежать обнаружения на диске.
Для пользователей Apple macOS, атаки на которых наблюдались в феврале и апреле 2025 года, схема отличается. Жертве предлагается выполнить команду bash в приложении «Терминал». Эта команда загружает шелл-скрипт, который с помощью утилиты
Ключевое преимущество использования блокчейна заключается в том, что вредоносная активность смешивается с легитимной деятельностью Web3, что повышает устойчивость инфраструктуры к обнаружению и демонтажу. Впервые техника EtherHiding была задокументирована специалистами Guardio Labs в октябре 2023 года. С тех пор UNC5142 значительно усовершенствовала свой подход.
В ноябре 2024 года группировка перешла от использования одного смарт-контракта к более сложной системе из трех контрактов, адаптировав легитимный принцип проектирования программного обеспечения, известный как «прокси-паттерн». Эта архитектура, названная «Router-Logic-Storage», состоит из трех компонентов: «Маршрутизатор» направляет запросы, «Логика» содержит основной операционный код, а «Хранилище» содержит изменяемые данные, такие как URL-адреса полезных нагрузок и ключи дешифрования.
Такая архитектура позволяет злоумышленникам мгновенно обновлять критически важные компоненты, например, URL-адреса для загрузки вредоносов, изменяя данные только в контракте «Хранилище». Это избавляет их от необходимости модифицировать JavaScript-код на тысячах скомпрометированных веб-сайтов. Стоимость таких обновлений для атакующих составляет всего от 0,25 до 1,50 доллара США в виде сетевых сборов.
UNC5142 использует два отдельных набора инфраструктур смарт-контрактов. Основная инфраструктура, созданная 24 ноября 2024 года, используется для основной кампании и характеризуется постоянными и частыми обновлениями. Вторичная инфраструктура, профинансированная 18 февраля 2025 года, представляет собой параллельное тактическое развертывание, которое, вероятно, используется для резких всплесков активности, тестирования новых приманок или повышения операционной отказоустойчивости.
По данным Google Threat Intelligence Group (GTIG), к июню 2025 года было помечено около 14 000 веб-страниц, связанных с деятельностью UNC5142. Аналитики GTIG полагают, что группировка добилась «определенного уровня успеха», о чем свидетельствуют их постоянный операционный темп, частые обновления инфраструктуры, большой объем скомпрометированных сайтов и разнообразие используемых вредоносных программ на протяжении последних полутора лет. Google не наблюдала активности UNC5142 после 23 июля 2025 года.
Изображение носит иллюстративный характер
Центральным инструментом в атаках является многоступенчатый загрузчик на JavaScript под названием CLEARSHORT. По оценкам экспертов, CLEARSHORT является вариантом вредоносного фреймворка ClearFake, который активен с июля 2023 года и был проанализирован французской компанией по кибербезопасности Sekoia в марте 2025 года. На целевых страницах используется тактика социальной инженерии ClickFix, принятая на вооружение операторами ClearFake примерно в мае 2024 года, чтобы обманом заставить жертву выполнить вредоносные команды, например, под видом обновления браузера.
Атака начинается с внедрения первой стадии JavaScript-кода CLEARSHORT в скомпрометированный сайт на WordPress, например, в файлы плагинов, тем или напрямую в базу данных. Этот скрипт взаимодействует с вредоносным смарт-контрактом в сети BNB Smart Chain (BSC), также известной как Binance Smart Chain. Смарт-контракт, в свою очередь, извлекает с внешнего сервера URL-адрес целевой страницы CLEARSHORT, которая обычно размещается на странице . С декабря 2024 года эти страницы извлекаются в зашифрованном виде.
После того как пользователь попадает на целевую страницу и поддается на уловку ClickFix, он копирует и вставляет вредоносную команду в свою систему. На системах Windows эта команда загружает и выполняет файл HTML Application (HTA) с URL-адреса MediaFire. Файл HTA создает PowerShell-скрипт для обхода защитных механизмов, который затем извлекает финальную зашифрованную полезную нагрузку с GitHub, MediaFire или собственной инфраструктуры злоумышленников. Вредоносное ПО исполняется непосредственно в памяти, чтобы избежать обнаружения на диске.
Для пользователей Apple macOS, атаки на которых наблюдались в феврале и апреле 2025 года, схема отличается. Жертве предлагается выполнить команду bash в приложении «Терминал». Эта команда загружает шелл-скрипт, который с помощью утилиты
curl скачивает с удаленного сервера полезную нагрузку — инфостилер Atomic, также известный как AMOS. Помимо Atomic, группировка распространяет такие вредоносы, как Lumma, Rhadamanthys (RADTHIEF) и Vidar. Ключевое преимущество использования блокчейна заключается в том, что вредоносная активность смешивается с легитимной деятельностью Web3, что повышает устойчивость инфраструктуры к обнаружению и демонтажу. Впервые техника EtherHiding была задокументирована специалистами Guardio Labs в октябре 2023 года. С тех пор UNC5142 значительно усовершенствовала свой подход.
В ноябре 2024 года группировка перешла от использования одного смарт-контракта к более сложной системе из трех контрактов, адаптировав легитимный принцип проектирования программного обеспечения, известный как «прокси-паттерн». Эта архитектура, названная «Router-Logic-Storage», состоит из трех компонентов: «Маршрутизатор» направляет запросы, «Логика» содержит основной операционный код, а «Хранилище» содержит изменяемые данные, такие как URL-адреса полезных нагрузок и ключи дешифрования.
Такая архитектура позволяет злоумышленникам мгновенно обновлять критически важные компоненты, например, URL-адреса для загрузки вредоносов, изменяя данные только в контракте «Хранилище». Это избавляет их от необходимости модифицировать JavaScript-код на тысячах скомпрометированных веб-сайтов. Стоимость таких обновлений для атакующих составляет всего от 0,25 до 1,50 доллара США в виде сетевых сборов.
UNC5142 использует два отдельных набора инфраструктур смарт-контрактов. Основная инфраструктура, созданная 24 ноября 2024 года, используется для основной кампании и характеризуется постоянными и частыми обновлениями. Вторичная инфраструктура, профинансированная 18 февраля 2025 года, представляет собой параллельное тактическое развертывание, которое, вероятно, используется для резких всплесков активности, тестирования новых приманок или повышения операционной отказоустойчивости.
По данным Google Threat Intelligence Group (GTIG), к июню 2025 года было помечено около 14 000 веб-страниц, связанных с деятельностью UNC5142. Аналитики GTIG полагают, что группировка добилась «определенного уровня успеха», о чем свидетельствуют их постоянный операционный темп, частые обновления инфраструктуры, большой объем скомпрометированных сайтов и разнообразие используемых вредоносных программ на протяжении последних полутора лет. Google не наблюдала активности UNC5142 после 23 июля 2025 года.
