Một tác nhân đe dọa có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên (còn gọi là Triều Tiên) đã bị phát hiện sử dụng kỹ thuật EtherHiding để phân phối phần mềm độc hại (malware) và thực hiện đánh cắp tiền điện tử (cryptocurrency), đánh dấu lần đầu tiên một nhóm tin tặc được nhà nước bảo trợ áp dụng phương pháp này.
Hoạt động này đã được Google Threat Intelligence Group (GTIG) gán cho một nhóm đe dọa mà họ theo dõi dưới tên UNC5342, còn được biết đến với các tên khác như CL-STA-0240 (Palo Alto Networks Unit 42), DeceptiveDevelopment (ESET), DEV#POPPER (Securonix), Famous Chollima (CrowdStrike), Gwisin Gang (DTEX), Tenacious Pungsan (Datadog) và Void Dokkaebi (Trend Micro).
Làn sóng tấn công này là một phần của chiến dịch dài hạn có tên mã Contagious Interview, trong đó các tin tặc tiếp cận các mục tiêu tiềm năng trên LinkedIn bằng cách giả làm nhà tuyển dụng hoặc quản lý tuyển dụng, và lừa họ chạy mã độc (malicious code) dưới chiêu bài đánh giá công việc sau khi chuyển cuộc trò chuyện sang Telegram hoặc Discord.
Mục tiêu cuối cùng của những nỗ lực này là giành quyền truy cập trái phép vào máy tính của các nhà phát triển, đánh cắp dữ liệu nhạy cảm và rút ruột tài sản tiền điện tử – phù hợp với hai mục tiêu song song của Triều Tiên là gián điệp mạng và lợi ích tài chính.
Google cho biết họ đã quan sát thấy UNC5342 tích hợp EtherHiding – một phương pháp lén lút liên quan đến việc nhúng mã độc hại vào một smart contract trên một blockchain công khai như BNB Smart Chain (BSC) hoặc Ethereum – kể từ tháng 2 năm 2025. Bằng cách đó, cuộc tấn công biến blockchain thành một dead drop resolver phi tập trung có khả năng chống lại các nỗ lực gỡ bỏ.
Bên cạnh khả năng phục hồi, EtherHiding còn lạm dụng tính chất ẩn danh của các giao dịch blockchain để gây khó khăn hơn trong việc truy tìm ai đã triển khai smart contract. Làm phức tạp thêm vấn đề, kỹ thuật này cũng linh hoạt ở chỗ nó cho phép kẻ tấn công kiểm soát smart contract cập nhật payload độc hại bất cứ lúc nào (mặc dù tốn trung bình 1,37 USD phí gas), từ đó mở ra cánh cửa cho một loạt các mối đe dọa rộng lớn.
"Sự phát triển này báo hiệu một sự leo thang trong bối cảnh đe dọa, khi các tác nhân đe dọa cấp quốc gia (nation-state threat actors) hiện đang sử dụng các kỹ thuật mới để phân phối malware chống lại các nỗ lực gỡ bỏ của cơ quan thực thi pháp luật và có thể dễ dàng sửa đổi cho các chiến dịch mới," Robert Wallace, trưởng nhóm tư vấn tại Mandiant, Google Cloud, cho biết trong một tuyên bố được chia sẻ với The Hacker News.
Chuỗi lây nhiễm và các loại Malware
Chuỗi lây nhiễm được kích hoạt sau cuộc tấn công kỹ thuật xã hội (social engineering) là một quy trình nhiều giai đoạn có khả năng nhắm mục tiêu vào các hệ thống Windows, macOS và Linux với ba họ malware khác nhau:
- Một downloader ban đầu xuất hiện dưới dạng npm packages
- BeaverTail, một JavaScript stealer chịu trách nhiệm đánh cắp thông tin nhạy cảm, chẳng hạn như ví tiền điện tử (cryptocurrency wallets), dữ liệu tiện ích mở rộng trình duyệt (browser extension data) và thông tin đăng nhập (credentials)
- JADESNOW, một JavaScript downloader sử dụng EtherHiding để tải InvisibleFerret
- InvisibleFerret, một Python backdoor được triển khai chống lại các mục tiêu có giá trị cao để cho phép điều khiển từ xa máy chủ bị xâm nhập, cũng như đánh cắp dữ liệu dài hạn bằng cách nhắm mục tiêu vào ví MetaMask và Phantom, cũng như thông tin đăng nhập từ các trình quản lý mật khẩu (password managers) như 1Password
“EtherHiding đại diện cho một sự thay đổi hướng tới thế hệ tiếp theo của bulletproof hosting, nơi các tính năng vốn có của công nghệ blockchain được sử dụng lại cho mục đích độc hại,” Google cho biết. “Kỹ thuật này nhấn mạnh sự tiến hóa liên tục của các mối đe dọa mạng khi những kẻ tấn công thích nghi và tận dụng các công nghệ mới để đạt được lợi thế của chúng.”
