Специалисты Google Threat Intelligence Group (GTIG) зафиксировали, что с февраля 2025 года северокорейская хакерская группировка использует инновационную технику сокрытия вредоносного кода под названием EtherHiding. Это первый подтвержденный случай, когда государственные киберпреступники применяют технологию блокчейн для размещения и управления вредоносными программами.
За атаками стоит группа, идентифицированная Google как UNC5342 и связанная с Корейской Народно-Демократической Республикой (КНДР). Эта же структура известна в отчетах других компаний по кибербезопасности под множеством псевдонимов: CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEVPOPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) и Void Dokkaebi (Trend Micro).
Кампания по распространению вредоносного ПО получила кодовое название "Contagious Interview" («Заразное собеседование»). Схема атаки основана на социальной инженерии. Преступники, выдавая себя за рекрутеров или менеджеров по найму, устанавливают первоначальный контакт с потенциальными жертвами в профессиональной сети LinkedIn.
После установления контакта общение переводится в мессенджеры, такие как Telegram или Discord. На следующем этапе жертве предлагают выполнить тестовое задание или пройти оценку профессиональных навыков, под видом которой и поставляется вредоносный код для запуска на компьютере цели.
Суть техники EtherHiding заключается в размещении вредоносного кода непосредственно внутри смарт-контракта на публичном блокчейне. Для этих целей хакеры использовали сети BNB Smart Chain (BSC) и Ethereum. Таким образом, блокчейн превращается в децентрализованный и устойчивый к блокировкам «тайник» (dead drop resolver), откуда вредоносная программа получает инструкции и обновления.
Использование блокчейна предоставляет злоумышленникам три ключевых преимущества. Во-первых, это чрезвычайная устойчивость к попыткам удаления со стороны правоохранительных органов. Во-вторых, псевдонимность транзакций помогает скрывать личность атакующих. В-третьих, хакеры могут в любой момент обновить вредоносную нагрузку в смарт-контракте.
Анализ показал, что стоимость обновления вредоносного кода в смарт-контракте является минимальной. Средняя цена такой операции составляет всего $1,37 в виде комиссий сети (gas fees), что делает метод не только эффективным, но и экономически выгодным для злоумышленников.
Основными целями группировки являются получение несанкционированного доступа к компьютерам разработчиков, кража конфиденциальных данных в рамках кибершпионажа и хищение криптовалютных активов для финансовой выгоды. Эта деятельность полностью соответствует стратегии КНДР, сочетающей кибершпионаж с получением дохода преступным путем.
Роберт Уоллес, руководитель консалтингового направления в Mandiant (Google Cloud), в комментарии для издания The Hacker News подчеркнул серьезность новой угрозы. Он заявил, что данная тактика представляет собой «эскалацию в ландшафте угроз».
По словам Уоллеса, это демонстрирует, что государственные субъекты используют новые, высокоустойчивые методы для распространения вредоносного ПО. Метод позволяет легко модифицировать вредоносные программы для новых кампаний и подчеркивает «непрерывную эволюцию киберугроз», поскольку злоумышленники активно осваивают и адаптируют передовые технологии.
За атаками стоит группа, идентифицированная Google как UNC5342 и связанная с Корейской Народно-Демократической Республикой (КНДР). Эта же структура известна в отчетах других компаний по кибербезопасности под множеством псевдонимов: CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEVPOPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) и Void Dokkaebi (Trend Micro).
Кампания по распространению вредоносного ПО получила кодовое название "Contagious Interview" («Заразное собеседование»). Схема атаки основана на социальной инженерии. Преступники, выдавая себя за рекрутеров или менеджеров по найму, устанавливают первоначальный контакт с потенциальными жертвами в профессиональной сети LinkedIn.
После установления контакта общение переводится в мессенджеры, такие как Telegram или Discord. На следующем этапе жертве предлагают выполнить тестовое задание или пройти оценку профессиональных навыков, под видом которой и поставляется вредоносный код для запуска на компьютере цели.
Суть техники EtherHiding заключается в размещении вредоносного кода непосредственно внутри смарт-контракта на публичном блокчейне. Для этих целей хакеры использовали сети BNB Smart Chain (BSC) и Ethereum. Таким образом, блокчейн превращается в децентрализованный и устойчивый к блокировкам «тайник» (dead drop resolver), откуда вредоносная программа получает инструкции и обновления.
Использование блокчейна предоставляет злоумышленникам три ключевых преимущества. Во-первых, это чрезвычайная устойчивость к попыткам удаления со стороны правоохранительных органов. Во-вторых, псевдонимность транзакций помогает скрывать личность атакующих. В-третьих, хакеры могут в любой момент обновить вредоносную нагрузку в смарт-контракте.
Анализ показал, что стоимость обновления вредоносного кода в смарт-контракте является минимальной. Средняя цена такой операции составляет всего $1,37 в виде комиссий сети (gas fees), что делает метод не только эффективным, но и экономически выгодным для злоумышленников.
Основными целями группировки являются получение несанкционированного доступа к компьютерам разработчиков, кража конфиденциальных данных в рамках кибершпионажа и хищение криптовалютных активов для финансовой выгоды. Эта деятельность полностью соответствует стратегии КНДР, сочетающей кибершпионаж с получением дохода преступным путем.
Роберт Уоллес, руководитель консалтингового направления в Mandiant (Google Cloud), в комментарии для издания The Hacker News подчеркнул серьезность новой угрозы. Он заявил, что данная тактика представляет собой «эскалацию в ландшафте угроз».
По словам Уоллеса, это демонстрирует, что государственные субъекты используют новые, высокоустойчивые методы для распространения вредоносного ПО. Метод позволяет легко модифицировать вредоносные программы для новых кампаний и подчеркивает «непрерывную эволюцию киберугроз», поскольку злоумышленники активно осваивают и адаптируют передовые технологии.
