Một tác nhân đe dọa có động cơ tài chính được đặt tên mã là UNC5142 đã được quan sát thấy lạm dụng hợp đồng thông minh blockchain như một cách để tạo điều kiện phân phối các phần mềm đánh cắp thông tin như Atomic (AMOS), Lumma, Rhadamanthys (còn gọi là RADTHIEF) và Vidar, nhắm mục tiêu vào cả hệ thống Windows và Apple macOS.
"UNC5142 được đặc trưng bởi việc sử dụng các trang web WordPress bị xâm nhập và 'EtherHiding', một kỹ thuật dùng để che giấu mã độc hoặc dữ liệu bằng cách đặt nó lên một blockchain công khai, chẳng hạn như BNB Smart Chain," Google Threat Intelligence Group (GTIG) cho biết trong một báo cáo chia sẻ với The Hacker News.
Tính đến tháng 6 năm 2025, Google cho biết họ đã gắn cờ khoảng 14.000 trang web chứa JavaScript được tiêm nhiễm có hành vi liên quan đến UNC5142, cho thấy việc nhắm mục tiêu bừa bãi vào các trang WordPress dễ bị tấn công. Tuy nhiên, gã khổng lồ công nghệ này lưu ý rằng họ chưa phát hiện bất kỳ hoạt động nào của UNC5142 kể từ ngày 23 tháng 7 năm 2025, báo hiệu một sự tạm dừng hoặc một sự thay đổi chiến thuật.
EtherHiding lần đầu tiên được Guardio Labs ghi nhận vào tháng 10 năm 2023, khi họ trình bày chi tiết các cuộc tấn công liên quan đến việc phân phối mã độc bằng cách sử dụng các hợp đồng BNB Smart Chain (BSC) thông qua các trang web bị nhiễm phục vụ cảnh báo cập nhật trình duyệt giả mạo.
Một khía cạnh quan trọng làm nền tảng cho chuỗi tấn công là một trình tải xuống JavaScript đa tầng có tên CLEARSHORT, cho phép phân phối mã độc thông qua các trang web bị tấn công. Giai đoạn đầu tiên là một mã độc JavaScript được chèn vào các trang web để lấy giai đoạn thứ hai bằng cách tương tác với một hợp đồng thông minh độc hại được lưu trữ trên blockchain BNB Smart Chain (BSC). Mã độc giai đoạn đầu được thêm vào các tệp liên quan đến plugin, tệp chủ đề và, trong một số trường hợp, thậm chí trực tiếp vào cơ sở dữ liệu WordPress.
Hợp đồng thông minh, về phần mình, chịu trách nhiệm tìm nạp một trang đích CLEARSHORT từ một máy chủ bên ngoài, trang này sau đó sử dụng chiến thuật kỹ thuật xã hội ClickFix để lừa nạn nhân chạy các lệnh độc hại trên hộp thoại Run của Windows (hoặc ứng dụng Terminal trên máy Mac), cuối cùng lây nhiễm hệ thống bằng phần mềm stealer. Các trang đích, thường được lưu trữ trên một trang Cloudflare .dev, được truy xuất ở định dạng mã hóa kể từ tháng 12 năm 2024.
Trên các hệ thống Windows, lệnh độc hại bao gồm việc thực thi một tệp HTML Application (HTA) được tải xuống từ một URL MediaFire, sau đó thả một PowerShell script để vượt qua các biện pháp phòng thủ, tìm nạp payload cuối cùng được mã hóa từ GitHub hoặc MediaFire, hoặc đôi khi là từ cơ sở hạ tầng riêng của chúng, và chạy stealer trực tiếp trong bộ nhớ mà không ghi tệp thực thi vào đĩa.
Trong các cuộc tấn công nhắm vào macOS vào tháng 2 và tháng 4 năm 2025, những kẻ tấn công đã được phát hiện sử dụng các mồi nhử ClickFix để nhắc người dùng chạy một lệnh bash trên Terminal để truy xuất một shell script. Script này sau đó sử dụng lệnh curl để lấy payload Atomic Stealer từ máy chủ từ xa.
CLEARSHORT được đánh giá là một biến thể của ClearFake, vốn là chủ đề của một phân tích chuyên sâu của công ty an ninh mạng Pháp Sekoia vào tháng 3 năm 2025. ClearFake là một framework JavaScript độc hại được triển khai trên các trang web bị xâm nhập để phân phối mã độc thông qua kỹ thuật drive-by download. Nó được biết là đã hoạt động từ tháng 7 năm 2023, với các cuộc tấn công áp dụng ClickFix vào khoảng tháng 5 năm 2024.
Việc lạm dụng blockchain mang lại một số lợi thế, vì kỹ thuật thông minh này không chỉ hòa nhập với hoạt động Web3 hợp pháp, mà còn tăng cường khả năng phục hồi của UNC5142's operations chống lại các nỗ lực phát hiện và gỡ bỏ.
Google cho biết các chiến dịch của tác nhân đe dọa đã chứng kiến sự phát triển đáng kể trong năm qua, chuyển từ hệ thống một hợp đồng sang hệ thống ba hợp đồng thông minh phức tạp hơn bắt đầu từ tháng 11 năm 2024 để tăng cường sự linh hoạt trong hoạt động, với những cải tiến hơn nữa được quan sát thấy vào đầu tháng 1 này.
"Kiến trúc mới này là sự điều chỉnh từ một nguyên tắc thiết kế phần mềm hợp pháp được gọi là proxy pattern, mà các nhà phát triển sử dụng để làm cho các hợp đồng của họ có thể nâng cấp được," nó giải thích.
"Thiết lập này hoạt động như một kiến trúc Router-Logic-Storage hiệu quả cao, trong đó mỗi hợp đồng có một nhiệm vụ cụ thể. Thiết kế này cho phép cập nhật nhanh chóng các phần quan trọng của cuộc tấn công, chẳng hạn như URL trang đích hoặc khóa giải mã, mà không cần sửa đổi JavaScript trên các trang web bị xâm nhập. Kết quả là, các chiến dịch trở nên linh hoạt hơn nhiều và có khả năng chống lại các nỗ lực gỡ bỏ."
UNC5142 đạt được điều này bằng cách tận dụng tính chất có thể thay đổi của dữ liệu của một smart contract (cần lưu ý rằng mã chương trình là bất biến sau khi được triển khai) để thay đổi URL payload, tốn của chúng từ 0.25 đến 1.50 USD phí mạng để thực hiện các cập nhật này.
Phân tích sâu hơn đã xác định việc tác nhân đe dọa sử dụng hai bộ cơ sở hạ tầng smart contract riêng biệt để phân phối phần mềm stealer thông qua trình tải xuống CLEARSHORT. Cơ sở hạ tầng chính được cho là đã được tạo vào ngày 24 tháng 11 năm 2024, trong khi cơ sở hạ tầng phụ song song được cấp vốn vào ngày 18 tháng 2 năm 2025.
"Cơ sở hạ tầng chính nổi bật là hạ tầng chiến dịch cốt lõi, được đánh dấu bởi việc tạo ra sớm và dòng cập nhật ổn định," GTIG cho biết. "Cơ sở hạ tầng phụ xuất hiện như một triển khai song song, mang tính chiến thuật hơn, có khả năng được thiết lập để hỗ trợ một đợt hoạt động chiến dịch cụ thể, thử nghiệm các mồi nhử mới, hoặc đơn giản là xây dựng khả năng phục hồi hoạt động."
"Với việc cập nhật thường xuyên chuỗi lây nhiễm cùng với nhịp độ hoạt động ổn định, số lượng lớn các trang web bị xâm nhập và sự đa dạng của các payload mã độc được phân phối trong một năm rưỡi qua, có khả năng UNC5142 đã đạt được một mức độ thành công nhất định với các hoạt động của chúng."
