Mindestens zwei verschiedene Hacking-Organisationen, darunter a Nordkoreanischer staatsnaher Schauspieler und a finanziell motivierte kriminelle Gruppenutzen öffentliche Blockchains, um Malware zu verbergen und zu verwalten, so eine Studie der Threat Intelligence Group von Google. Diese Methode macht ihren Betrieb äußerst widerstandsfähig gegenüber konventionellen Abschaltbemühungen. Die Technik, die Forscher EtherHiding nennen, verändert grundlegend die Art und Weise, wie Angreifer bösartigen Code verwalten und einsetzen, indem sie Anweisungen in intelligente Verträge auf öffentlichen Blockchains einbettet, anstatt sich auf herkömmliche Befehls- und Kontrollserver zu verlassen. Dieser Ansatz nutzt die dezentralen und unveränderlichen Eigenschaften der Blockchain-Technologie, um das zu schaffen, was die Forschung als „kugelsichere“ Infrastruktur bezeichnet. Robert Wallace, Beratungsleiter bei Mandiant, einem Teil von Google Cloud, bezeichnete die Entwicklung als „Eskalation der Bedrohungslandschaft“. Er wies darauf hin, dass Hacker eine Methode entwickelt hätten, die „resistent gegen die Abschaltung durch die Strafverfolgungsbehörden“ sei und „für neue Kampagnen leicht modifiziert werden könne“. Das Kerndesign der Blockchain stellt sicher, dass einmal aufgezeichnete Daten nicht mehr geändert oder entfernt werden können, und bietet Angreifern eine dauerhafte und zuverlässige Plattform für ihre Operationen, die nicht den typischen Deaktivierungsverfahren unterliegt, die auf zentralisierte Server abzielen. EtherHiding wurde erstmals im Jahr 2023 während einer Kampagne namens ClearFake beobachtet, bei der Cyberkriminelle mit finanziellen Motiven gefälschte Aufforderungen zur Browseraktualisierung nutzten, um Opfer anzulocken. Das zugrunde liegende Konzept besteht darin, bösartigen Code oder Befehle innerhalb einer Blockchain-Transaktion oder, häufiger, eines Smart Contracts zu speichern. Angreifer rufen diese Informationen dann über schreibgeschützte Aufrufe der Blockchain ab. Da diese Aufrufe keine neuen Daten schreiben oder Vermögenswerte übertragen, erzeugen sie keine sichtbaren Transaktionen im öffentlichen Hauptbuch. Diese Tarnung ermöglicht es der Malware, Anweisungen zu empfangen, ohne eine klare Spur für Sicherheitsanalysten zu hinterlassen. Dadurch können sich Verteidiger nicht auf herkömmliche Kompromittierungsindikatoren wie bösartige Domänen oder IP-Adressen verlassen, die für die herkömmliche Bedrohungserkennung und -blockierung von zentraler Bedeutung sind. In dem Bericht heißt es, dass der „bösartige Code zugänglich bleibt“, solange die Blockchain betriebsbereit bleibt. Die Forscher stellten fest, dass die beiden Gruppen EtherHiding für unterschiedliche Ziele adaptierten. Die mit Nordkorea verbundene Gruppe, die als UNC5342 verfolgt wird, integriert die Technik in anspruchsvolle Social-Engineering-Kampagnen, die darauf abzielen, die Netzwerke von Entwicklern und Kryptowährungsfirmen zu infiltrieren. Im Gegensatz dazu nutzt die finanziell orientierte Gruppe UNC5142 EtherHiding, um die weitverbreitete Verbreitung informationsstehlender Malware zu erleichtern, indem sie eine große Anzahl von WordPress-Websites kompromittiert. Die nordkoreanische Bedrohungsgruppe UNC5342 hat die EtherHiding-Technik in eine umfassendere Operation integriert Palo Alto Networks zuvor als „Contagious Interview“-Kampagne bezeichnet. Bei dieser Kampagne handelt es sich um Social-Engineering-Taktiken, bei denen sich die Angreifer auf professionellen Netzwerkseiten wie LinkedIn und verschiedenen Jobbörsen als Personalvermittler ausgeben. Sie wenden sich an Softwareentwickler mit betrügerischen Stellenangeboten von gefälschten Unternehmen, wobei „BlockNovas LLC“ und „Angeloper Agency“ zwei Beispiele für die verwendeten gefälschten Firmennamen sind. Ziel der Angreifer ist es, eine Beziehung zu ihren Zielen aufzubauen, bevor sie mit der nächsten Phase des Angriffs fortfahren. Nach der ersten Kontaktaufnahme lockten die Akteure hinter UNC5342 die anvisierten Entwickler zu inszenierten Interviews, die über verschlüsselte Messaging-Anwendungen wie Telegram und Discord geführt wurden. Während einer technischen Bewertung oder Codierungsherausforderung wurden die Opfer angewiesen, Dateien aus öffentlichen Repositories auf GitHub oder npm herunterzuladen und auszuführen. Diese Dateien sollen Teil des Interviewprozesses gewesen sein, enthielten jedoch heimlich Malware-Nutzdaten. Die in dieser Kampagne identifizierten primären Malware-Familien sind JadeSnow, ein Downloader, und InvisibleFerret, eine Hintertür. Beide bösartigen Tools sind so konzipiert, dass sie EtherHiding für ihre Befehls- und Kontrollkommunikation verwenden und sich mit von Angreifern kontrollierten Smart Contracts verbinden, die sowohl im Ethereum- als auch im BNB-Smart-Chain-Netzwerk eingesetzt werden, um Anweisungen zu erhalten. Die durch UNC5342 initiierte Infektionskette ist methodisch. Der JadeSnow-Downloader ist die erste Komponente, die auf dem System eines Opfers ausgeführt wird. Es ist so programmiert, dass es bestimmte Smart Contracts in der Blockchain abfragt, um verschlüsselte JavaScript-Nutzlasten abzurufen. Sobald diese Nutzlasten entschlüsselt sind, sind sie für die Bereitstellung der Haupt-Hintertür, InvisibleFerret, verantwortlich. Sobald die InvisibleFerret-Malware auf einem kompromittierten Computer installiert und aktiv ist, bietet sie den Angreifern vielfältige Möglichkeiten. Dazu gehört die Möglichkeit, sensible Daten herauszufiltern, Benutzeranmeldeinformationen zu erfassen und eine Fernsteuerung über das infizierte System auszuüben. In einigen beobachteten Fällen stellten Forscher fest, dass InvisibleFerret ein zusätzliches Modul zum Diebstahl von Anmeldeinformationen einsetzte, das speziell auf Webbrowser und beliebte Kryptowährungs-Wallets wie MetaMask und Phantom abzielte. Die durch diese Aktivitäten gestohlenen Daten werden dann auf von Angreifern kontrollierte Server exfiltriert und auch an private Telegram-Kanäle gesendet. Die Kampagne dient dem nordkoreanischen Regime einem doppelten Zweck: der Erwirtschaftung illegaler Einnahmen durch Kryptowährungsdiebstahl und dem Sammeln strategischer Informationen von den kompromittierten Entwicklern und ihren Arbeitgebern. In einer separaten Untersuchung hat Google Mandiant die Aktivitäten von UNC5142 detailliert beschrieben, einem finanziell motivierten Bedrohungsakteur, der ebenfalls auf EtherHiding setzt. Das Hauptziel dieser Gruppe besteht darin, eine große Anzahl von Websites zu infizieren, um verschiedene Familien informationsstehlender Malware zu verbreiten. Die Methode der Gruppe besteht darin, WordPress-Sites mit Sicherheitslücken zu kompromittieren und ihnen bösartige JavaScript-Downloader einzuschleusen, die gemeinsam als ClearShort bezeichnet werden. Diese Skripte sind darauf ausgelegt, Smart Contracts auf der BNB Smart Chain als robuste Kontrollschicht zu nutzen, um Payloads der zweiten Stufe abzurufen oder Opfer auf von Angreifern gehostete Landingpages umzuleiten. Die operative Infrastruktur von UNC5142 zeichnet sich durch die umfangreiche Nutzung legitimer Dienste aus, um seine böswilligen Aktivitäten zu verschleiern. Die Gruppe hostet ihre bösartigen Landingpages auf dem Pages.dev-Dienst von Cloudflare, wodurch der Datenverkehr legitimer erscheint, während die zentralen Befehls- und Kontrollinformationen in der Blockchain gespeichert werden. Bis Mitte 2025 hatte das Google-Team Spuren der von UNC5142 injizierten Skripte auf etwa 14.000 verschiedenen Websites identifiziert. Auch die Architektur der Gruppe hat sich weiterentwickelt und von einem einzelnen Smart Contract zu einem komplexeren dreistufigen System übergegangen, das ein Software-„Proxy-Muster“ nachahmt. Diese fortschrittliche Struktur besteht aus einem Router-Vertrag, der den Datenverkehr leitet, einem Fingerabdruck-Vertrag zur Profilierung des Systems des Opfers und einem Payload-Vertrag, der verschlüsselte Daten und Entschlüsselungsschlüssel speichert. Dieses Design ermöglicht es den Angreifern, ihre Infrastruktur, wie z. B. Lock-URLs oder Verschlüsselungsschlüssel, auf Tausenden infizierten Websites gleichzeitig über eine einzige Blockchain-Transaktion zu aktualisieren, was nur einen Dollar an Netzwerkgebühren kosten kann. Um seine endgültigen Nutzdaten bereitzustellen, setzt UNC5142 Social-Engineering-Taktiken ein, beispielsweise die Anzeige gefälschter Cloudflare-Verifizierungsseiten oder betrügerischer Aufforderungen zur Aktualisierung des Chrome-Browsers. Diese Köder sollen Opfer dazu verleiten, böswillige Befehle auszuführen, die normalerweise im Rahmen einer scheinbar legitimen Aktion verborgen sind. Eine erfolgreiche Ausführung führt zur Bereitstellung wirksamer Infostealer, darunter Vidar, Lummac.V2 und RadThief. Die Kampagnen der Gruppe zeigen einen klaren Fortschritt in der technischen Raffinesse, mit einem Trend hin zu stärkeren Verschlüsselungsstandards wie AES-GCM und fortschrittlicheren Verschleierungstechniken. In einem dokumentierten Beispiel holte das JavaScript des Angreifers verschlüsseltes HTML von Cloudflare ab, das dann auf der Clientseite entschlüsselt wurde. Diese entschlüsselte Seite veranlasste den Benutzer, einen versteckten PowerShell-Befehl auszuführen, der die endgültige Nutzlast herunterlud, die oft als harmlose Mediendatei getarnt war. Die Analyse von Blockchain-Transaktionen ergab, dass UNC5142 mindestens zwei parallele Infrastrukturen unterhielt, die die Forscher als Main und Secondary bezeichneten. Beide verwendeten den gleichen Smart-Contract-Code und wurden über Kryptowährungs-Wallets finanziert, die über die OKX-Börse verbunden waren. Es wurde beobachtet, dass die Angreifer beide Infrastrukturen innerhalb weniger Minuten aktualisierten, eine Aktion, die stark auf eine koordinierte Kontrolle durch einen einzelnen, organisierten Akteur schließen lässt. Die Untersuchung zeigt, dass weder UNC5342 noch UNC5142 direkt mit Blockchain-Knoten interagieren. Stattdessen sind sie auf zentralisierte Dienste wie öffentliche RPC-Endpunkte (Remote Procedure Call) oder API-Anbieter von Drittanbietern angewiesen, um Daten aus der Blockchain abzurufen. Durch diese Abhängigkeit entstehen sogenannte „Beobachtungs- und Kontrollpunkte“, an denen Verteidiger oder Dienstleister potenziell eingreifen könnten. Im Fall von UNC5342 kontaktierten die Forscher mehrere API-Anbieter, die in der Kampagne verwendet wurden. Die Antwort war inkonsistent; Während einige Anbieter schnell reagierten, um die böswilligen Aktivitäten zu blockieren, taten andere dies nicht. Diese ungleiche Zusammenarbeit, so die Forscher, „erhöht das Risiko, dass sich diese Technik unter den Bedrohungsakteuren ausbreitet.“ Die inhärente Natur intelligenter Verträge stellt eine große Herausforderung dar, da sie sowohl öffentlich als auch unveränderlich sind. Nach der Bereitstellung kann ihr Code von Sicherheitsteams weder entfernt noch blockiert werden, selbst wenn er als bösartig gekennzeichnet ist. Netzwerkbasierte Sicherheitsfilter, die für herkömmliche Web-Verkehrsmuster konzipiert sind, haben Schwierigkeiten, die mit Web3-Technologien verbundenen dezentralen Muster effektiv zu analysieren und zu blockieren. Die Anonymität, die Kryptowährungs-Wallet-Adressen bieten, kombiniert mit den extrem niedrigen Kosten von Blockchain-Transaktionen, ermöglicht es Bedrohungsakteuren, ihre Taktiken schnell zu ändern und Kampagnen auf unbestimmte Zeit aufrechtzuerhalten. Forscher schätzten, dass für UNC5142 die Aktualisierung einer gesamten Malware-Lieferkette zwischen 25 Cent und 1,50 US-Dollar pro Transaktion kostet, was diesen Angreifern eine operative Flexibilität verschafft, die die herkömmliche Infrastruktur übertrifft.
