Los hackers norcoreanos juegan nuevas ideas: utilizan la cadena de bloques como servidor de control remoto, los profesionales de Crypto son pescados.

El equipo de seguridad de Google y Cisco recientemente descubrió algo bastante duro: un grupo de hackers norcoreanos está utilizando la cadena de bloques para ocultar código malicioso, esencialmente tratando la cadena pública como un servidor C&C descentralizado.

Hacker's new trick: fake job recruitment → malicious code → remote control on the chain

El grupo de hackers UNC5342 desarrolló un malware llamado EtherHiding, que está diseñado para insertar cargas útiles de JavaScript en la cadena de bloques pública. Hacer esto tiene dos ventajas: primero, se puede cambiar el comportamiento del malware de forma remota, sin necesidad de servidores tradicionales; segundo, es muy difícil para las autoridades rastrear y cerrar.

Lo que es aún más despreciable es que su objetivo son los profesionales de Crypto y ciberseguridad. La táctica consiste en publicar posiciones falsas de evaluación técnica → invitar a los candidatos a participar en un “examen técnico” → hacer que descarguen un archivo que contiene código malicioso. Una vez que caigas en la trampa, los dos troyanos BeaverTail y OtterCookie comenzarán:

• Registra cada vez que tocas el teclado (incluidas claves privadas, contraseñas)
• Captura de pantalla de tu pantalla
• Transmitir los datos en tiempo real al servidor del Hacker.

¿Por qué dirigido a los profesionales de Crypto?

Es muy simple: este grupo de personas o tiene una billetera, o tiene acceso al sistema, o tiene ambas cosas. Una vez que los hackers logran infiltrarse en sus máquinas, pueden:

1. Robo directo de monedas — Acceder a la billetera, cuenta de intercambio
2. Infiltración a largo plazo — Implantar ransomware, realizar actividades de espionaje
3. Ataques a la cadena de suministro — Infiltración en los proyectos/compañías que sirven desde las computadoras de trabajo de los empleados

Señales de advertencia

• Un HR desconocido te envía un DM de repente, invitándote a un puesto de alto salario
• Se requiere que descargues “herramienta de evaluación técnica” o “editor de código”
• El proceso de entrevista es extremadamente rápido o anormalmente simple

Cisco y Google han publicado el IOC (Indicadores de Compromiso), que los equipos de seguridad pueden usar para detectar amenazas. Pero la verdadera línea de defensa está en manos de todos: una descarga descuidada puede permitir que un hacker ingrese.

Esta operación también indica una tendencia: la cadena de bloques no solo se utiliza para especular con criptomonedas, los hackers también están explorando sus características. La característica de descentralización hace que su red de control de comandos sea más difícil de destruir.