Resumen ejecutivo

Un actor monetariamente motivado identificado como UNC5142 ha estado usando un vector poco convencional para la distribución de info-stealers (entre ellos variantes asociadas a Atomic/AMOS, Lumma, Rhadamanthys/RADTHIEF y Vidar): la combinación de sitios WordPress comprometidos y contratos inteligentes públicos (principalmente en BNB Smart Chain) para orquestar un descargador JavaScript multietapa denominado CLEARSHORT. Google Threat Intelligence Group (GTIG) documentó la campaña; en junio de 2025 detectó cerca de 14 000 páginas que servían JavaScript inyectado ligado a la operación. Tras una intensa actividad observada hasta julio de 2025, GTIG reportó una pausa operacional a partir del 23 de julio de 2025.

Análisis técnico — panorama general y TTPs principales

  • Vector de proximidad: compromisibilidad masiva de sitios WordPress (plugins/themes/DB) para inyectar un primer stager JavaScript.
  • Mecanismo de distribución: el JavaScript de primera etapa interactúa con un smart contract malicioso en la cadena BNB Smart Chain —técnica conocida como EtherHiding— que actúa como repositorio y enrutador de payloads cifrados.
  • Descargador multietapa (CLEARSHORT): el primer script recupera una URL/landing desde el contrato inteligente; la landing (hosteada a menudo bajo dominios .dev y distribuida via infraestructura Cloudflare) aplica ingeniería social (ClickFix) para inducir al usuario a ejecutar comandos locales (HTA+PowerShell en Windows, o comando bash/curl en macOS).
  • Carga útil y ejecución «fileless»: en Windows la cadena suele descargar un HTA desde servicios como MediaFire que lanza PowerShell para obtener la carga final cifrada desde GitHub/MediaFire o infraestructura propia, y ejecutar el ladrón directamente en memoria (evadiendo persistencia en disco). En macOS, el señuelo hace que la víctima ejecute un script que usa curl para recuperar el instalador del info-stealer.
  • Malware distribuido: familias detectadas incluyen Atomic (AMOS), Lumma, Rhadamanthys (RADTHIEF) y Vidar, orientadas a exfiltración de credenciales y datos (stealers).

Cadena de infección (kill chain detallada)

  1. Compromiso inicial: ataque y modificación de archivos de temas, plugins o entradas en la base de datos WordPress para insertar el stager JS.
  2. Beacon a cadena: el stager consulta un contrato inteligente en BSC que contiene referencias cifradas a páginas de landing.
  3. Resolución de landing: el contrato responde con la ubicación (URL) cifrada; el stager descifra (o solicita el descifrado del servidor) y carga la página de destino CLEARSHORT.
  4. Ingeniería social (ClickFix): la landing engaña al usuario con instrucciones para ejecutar un comando en Run/Terminal.
  5. Entrega del segundo-stage: comando invoca HTA/PowerShell (Windows) o bash+curl (macOS) para descargar y ejecutar la carga final en memoria.
  6. Acción post-explotación: el info-stealer recopila credenciales y datos; puede desplegar comunicaciones C2 y movimientos laterales según oportuno.

Evolución de la infraestructura y persistencia operativa

  • Origen y evolución: EtherHiding documentado inicialmente por Guardio Labs en oct-2023; UNC5142 evolucionó su diseño contractual a partir de noviembre de 2024, migrando desde un contrato único a una arquitectura de tres contratos (proxy/router/storage) para permitir actualizaciones ágiles sin tocar los scripts inyectados en los sitios.
  • Fechas clave de infraestructura: la infraestructura principal fue implantada el 24 de noviembre de 2024; una infraestructura secundaria paralela fue financiada el 18 de febrero de 2025.
  • Arquitectura de contratos: patrón proxy que separa roles (enrutamiento lógico, almacenamiento de metadatos y funciones operacionales), facilitando la modificación de parámetros críticos (p. ej. URL de landing, claves de descifrado) a bajo costo de gas (~USD 0.25–1.50 por actualización).
  • Resiliencia y opacidad: al mover metadatos y punteros a la blockchain pública se dificulta el takedown centralizado y se aprovecha la legitimidad de transacciones Web3 para camuflar actividad maliciosa.

Contexto histórico y conexiones con frameworks previos

  • CLEARSHORT y ClearFake: CLEARSHORT se considera una derivación o variante de ClearFake, framework JS analizado por Sekoia en marzo de 2025. ClearFake ha operado desde julio de 2023, y el uso de señuelos ClickFix fue adoptado ampliamente desde mayo de 2024.
  • Persistencia criptográfica: desde diciembre de 2024 las landing pages y los artefactos/URLs se sirven en forma cifrada, añadiendo una capa de ofuscación frente a la detección tradicional.

Observaciones de telemetría y alcance operacional

  • GTIG detectó ~14 000 páginas con JavaScript inyectado en junio de 2025; desde el 1 de agosto de 2025 se registró actividad masiva hasta una pausa reportada el 23 de julio de 2025 (GTIG señaló ausencia de señales posteriores).
  • El volumen y la modularidad de las cargas (varios stealers) sugieren que la operación ha alcanzado un grado de eficacia operacional suficiente para mantener múltiples líneas de infraestructura y rotación de señuelos.

Riesgos y repercusiones para infraestructuras web y endpoints

  • Alta capacidad de evasión: ejecución en memoria y uso de CDNs/servicios legítimos para hostear cargas (MediaFire, GitHub, Cloudflare) reducen la detección.
  • Atención a supply-chain web: cualquier sitio WordPress con permisos laxos, plugins desactualizados o falta de WAF es un vector exploitable.
  • Impacto multipropósito: desde robo de credenciales hasta uso de sitios como distribuidores de malware o nodos de phishing.

Indicadores de compromiso (IoCs) y tácticas de detección (resumen)

Tácticas detectables: inyección de JavaScript en temas/plugins, llamadas salientes a contratos BSC, descargas HTA/PowerShell desde repositorios públicos, ejecución de comandos Run/Terminal inducidos por UI.
Patrones para búsqueda en logs: requests hacia dominios .dev con payloads ofuscados; conexiones a direcciones de contratos específicos en BSC; descargas desde MediaFire/GitHub seguidas de invocaciones de PowerShell/HTA; picos de actividad correlacionados con transacciones en la cadena.

(Nota: se recomienda correlacionar con IoCs y hashes publicados por GTIG / Sekoia / Guardio para acciones de remediación detalladas.)

Controles de mitigación y respuesta recomendada (prioridades)

Acciones inmediatas (Playbook):

  1. Escaneo e higiene de CMS: identificar y revertir archivos modificados en themes/plugins y entradas DB; restaurar desde backups verificados si procede.
  2. WAF & virtual patching: desplegar reglas que bloqueen inyección de scripts y endpoints conocidos del stager; filtrar requests que intenten leer contratos o respuestas cifradas.
  3. Bloqueo de dominios/URLs: bloquear hostnames .dev y endpoints de landing asociados hasta su análisis.
  4. EndPoint detection: monitorizar ejecuciones HTA/PowerShell y procesos iniciados desde navegadores; habilitar bloqueo de ejecución por políticas (AppLocker/Notarization, MDM).
  5. Rotación de credenciales: forzar cambio de contraseñas administrativas y tokens expuestos; invalidar sessions activas.
  6. Retención de evidencia: conservar logs web y transacciones blockchain relevantes para DFIR y reporte.

Medidas estratégicas:

  • Habilitar deploys automatizados y tests de integridad en entornos CI/CD para sitios WordPress.
  • Implementar CSP y Subresource Integrity (SRI) donde sea aplicable.
  • Establecer monitorización de transacciones blockchain vinculadas a contratos sospechosos y feeds de threat intel Web3.
  • Educar usuarios sobre ingeniería social ClickFix y procedimientos para evitar ejecutar comandos locales por instrucciones web.

Fuente:thehackernews[.]com

You May Also Like

Microsoft corrige cuatro fallos críticos en sus servicios cloud, uno alcanza la máxima gravedad 10/10

HKN FEED

ExelaStealer, un malware «low-cost» que abre la puerta a nuevos delincuentes

HKN FEED

La policía de Singapur ha detenido a seis piratas informáticos relacionados con una red global de delitos cibernéticos.

HKN FEED