Een financieel gemotiveerde dreigingsacteur met de codenaam UNC5142 Er is waargenomen dat slimme blockchain-contracten worden misbruikt als een manier om de distributie van informatiestelers zoals Atomic (AMOS), Lumma, Rhadamanthys (ook bekend als RADTHIEF) en Vidar te vergemakkelijken, gericht op zowel Windows- als Apple macOS-systemen.
“UNC5142 wordt gekenmerkt door het gebruik van gecompromitteerde WordPress-websites en ‘EtherHiding’, een techniek die wordt gebruikt om kwaadaardige code of gegevens te verbergen door deze op een openbare blockchain te plaatsen, zoals de BNB Smart Chain”, aldus Google Threat Intelligence Group (GTIG) in een rapport gedeeld met The Hacker News.
Vanaf juni 2025 zei Google dat het ongeveer 14.000 webpagina’s had gemarkeerd die geïnjecteerd JavaScript bevatten die gedrag vertonen dat verband houdt met een UNC5142, wat duidt op willekeurige targeting van kwetsbare WordPress-sites. De technologiegigant merkte echter op dat er sinds 23 juli 2025 geen UNC5142-activiteit meer is waargenomen, wat een pauze of een operationele draai aangeeft.
EtherHiding werd voor het eerst gedocumenteerd door Guardio Labs in oktober 2023, toen het aanvallen gedetailleerd beschreef waarbij kwaadaardige code werd aangeboden door gebruik te maken van Binance’s Smart Chain (BSC)-contracten via geïnfecteerde sites die valse waarschuwingen voor browserupdates vertoonden.
Een cruciaal aspect dat ten grondslag ligt aan de aanvalsketens is een meerfasige JavaScript-downloader genaamd CLEARSHORT die de distributie van de malware via de gehackte sites mogelijk maakt. De eerste fase is een JavaScript-malware die in de websites wordt ingevoegd om de tweede fase op te halen door interactie met een kwaadaardig slim contract dat is opgeslagen op de BNB Smart Chain (BSC) blockchain. De malware in de eerste fase wordt toegevoegd aan plug-ingerelateerde bestanden, themabestanden en, in sommige gevallen, zelfs rechtstreeks aan de WordPress-database.
Het slimme contract is op zijn beurt verantwoordelijk voor het ophalen van een CLEARSHORT-landingspagina van een externe server die op zijn beurt de social engineering-tactiek ClickFix gebruikt om slachtoffers te misleiden om kwaadaardige opdrachten uit te voeren in het Windows Run-dialoogvenster (of de Terminal-app op Macs), waardoor het systeem uiteindelijk wordt geïnfecteerd met stealer-malware. De landingspagina’s, die doorgaans worden gehost op een Cloudflare .dev-pagina, worden vanaf december 2024 in gecodeerd formaat opgehaald.
Op Windows-systemen omvat de kwaadaardige opdracht de uitvoering van een HTML-toepassingsbestand (HTA) dat is gedownload van een MediaFire-URL, waarna een PowerShell-script wordt geplaatst om de verdediging te omzeilen, de gecodeerde uiteindelijke lading op te halen van GitHub of MediaFire, of in sommige gevallen hun eigen infrastructuur, en de stealer rechtstreeks in het geheugen uit te voeren zonder het artefact naar schijf te schrijven.
Bij aanvallen gericht op macOS in februari en april 2025 bleken de aanvallers ClickFix-lokvogels te gebruiken om de gebruiker te vragen een bash-commando uit te voeren op Terminal dat een shell-script ophaalde. Het script gebruikt vervolgens de opdracht curl om de Atomic Stealer-payload van de externe server te verkrijgen.
CLEARSHORT wordt beschouwd als een variant van ClearFake, dat in maart 2025 het onderwerp was van een uitgebreide analyse door het Franse cyberbeveiligingsbedrijf Sekoia. ClearFake is een frauduleus JavaScript-framework dat op gecompromitteerde websites wordt ingezet om malware af te leveren via de drive-by downloadtechniek. Het is bekend dat het actief is sinds juli 2023, waarbij de aanvallen rond mei 2024 ClickFix adopteerden.
Het misbruik van blockchain biedt verschillende voordelen, omdat de slimme techniek niet alleen past bij legitieme Web3-activiteiten, maar ook de veerkracht van de activiteiten van UNC5142 vergroot tegen detectie- en verwijderingsinspanningen.
Google zei dat de campagnes van de bedreigingsactoren het afgelopen jaar een aanzienlijke evolutie hebben doorgemaakt, waarbij ze vanaf november 2024 zijn verschoven van een systeem met één contract naar een meer geavanceerd systeem met drie slimme contracten voor een betere operationele flexibiliteit, waarbij eerder in januari verdere verfijningen zijn waargenomen.
“Deze nieuwe architectuur is een aanpassing van een legitiem softwareontwerpprincipe dat bekend staat als het proxypatroon, dat ontwikkelaars gebruiken om hun contracten te upgraden”, legt het uit.
“De opstelling functioneert als een zeer efficiënte Router-Logic-Storage-architectuur waarbij elk contract een specifieke taak heeft. Dit ontwerp maakt snelle updates van kritieke delen van de aanval mogelijk, zoals de URL van de bestemmingspagina of de decoderingssleutel, zonder dat het JavaScript op gecompromitteerde websites hoeft te worden aangepast. Als resultaat zijn de campagnes veel wendbaarder en beter bestand tegen verwijderingen.”
UNC5142 bereikt dit door gebruik te maken van de veranderlijke aard van de gegevens van een slim contract (het is de moeite waard om op te merken dat de programmacode onveranderlijk is zodra deze is geïmplementeerd) om de payload-URL te wijzigen, wat hen ergens tussen de $ 0,25 en $ 1,50 aan netwerkkosten kost om deze updates uit te voeren.
Verdere analyse heeft uitgewezen dat de bedreigingsactoren twee verschillende sets slimme contractinfrastructuren gebruiken om stealer-malware te leveren via de CLEARSHORT-downloader. De hoofdinfrastructuur zou op 24 november 2024 zijn aangelegd, terwijl de parallelle secundaire infrastructuur op 18 februari 2025 werd gefinancierd.
“De hoofdinfrastructuur onderscheidt zich als de kerninfrastructuur van de campagne, gekenmerkt door zijn vroege creatie en gestage stroom updates”, aldus GTIG. “De secundaire infrastructuur lijkt een parallelle, meer tactische inzet, waarschijnlijk opgezet om een specifieke toename van campagneactiviteit te ondersteunen, nieuwe kunstaas te testen of eenvoudigweg operationele veerkracht op te bouwen.”
“Gezien de frequente updates van de infectieketen in combinatie met het consistente operationele tempo, het grote aantal gecompromitteerde websites en de diversiteit aan gedistribueerde malware-payloads van de afgelopen anderhalf jaar, is het waarschijnlijk dat UNC5142 enig succes heeft geboekt met hun activiteiten.”
