Google alerta: hackers norcoreanos usan nueva técnica para infectar tus dispositivos basada en un malware 'invisible'

Publicado: octubre 20, 2025, 5:30 pm

Google ha alertado de que un grupo de hackers norcoreanos está utilizando una nueva técnica para esconder y distribuir el malware, la cual es muy difícil de detectar. Este aviso viene del Grupo de Inteligencia de Amenazas de Google (GTIG), desde donde ponen el punto de mira en el actor malicioso UNC5342, que está respaldado por el régimen de Corea del Norte y utiliza una forma diferente de ocultar, y entregar el software dañino.

Bajo el nombre de EtherHiding logran meter el malware dentro de contratos en blockchains públicas (cadenas de bloques) en vez de alojar el código malicioso en un servidor normal. El proceso comienza con los atacantes logrando del acceso a una página web legítima mediante contraseñas robadas o aprovechando alguna vulnerabilidad.

A continuación, añaden un código malicioso en forma de cargas útiles de JavaScript en esa web, y en el momento que alguien la visita, ese fragmento se ejecuta en el navegador de la víctima. La cosa es que el script no descarga el malware desde un servidor normal, sino que recupera la carga maliciosa guardada en un contrato inteligente dentro de una blockchain pública.

Después, se realiza una llamada de solo lectura que no crea transacciones en el bloque, por lo que no se puede rastrear. Tampoco deja comisiones, lo que hace que la descarga pase desapercibida. Cuando la carga maliciosa se recupera, esta se ejecuta en el equipo o navegador de la víctima, dando como resultado «páginas de inicio de sesión falsas, instalar malware que roba información o implementar ransomware«.

Esta técnica ofrece una serie de ventajas para los ciberdelincuentes

• Como el código está en una blockchain pública, no necesita de un servidor central que las autoridades puedan apagar.

• Mientras la blockchain funcione, el código permanecerá accesible.

• Las transacciones y direcciones tienen un grado de anonimato que hace complejo el identificar a los delincuentes.

• Al implementar el contrato inteligente solo puede eliminarlo o alterarlo quien sea el dueño.

• Puede actualizar el ‘malware’ con solo cambiar el contrato inteligente.

Desde la compañía de Mountain View comentan que GTIG ha rastreado a UNC5342 desde febrero de este año, incorporando EtherHiding en una campaña de ingeniería social en curso, denominada «Entrevista Contagiosa» por Palo Alto Networks.

En esta campaña, el actor utiliza el malware JADESNOW para implementar una variante en JavaScript de INVISIBLEFERRET, lo que ha provocado numerosos robos de criptomonedas.