In brief
- El Grupo de Inteligencia de Amenazas de Google advirtió que Corea del Norte está utilizando EtherHiding, un malware oculto en contratos inteligentes de blockchain que permite robo de criptomonedas y resulta resistente a métodos convencionales de eliminación.
- Los hackers norcoreanos robaron más de $2.000 millones hasta ahora en 2025, con el ataque de $1.460 millones al exchange Bybit en febrero, elevando el total histórico a más de $6.000 millones según Elliptic.
- Google rastreó desde febrero a UNC5342, actor vinculado a FamousChollima, incorporando EtherHiding en su campaña Contagious Interview mediante código malicioso incrustado en contratos inteligentes de BNB Smart Chain y Ethereum.
El Grupo de Inteligencia de Amenazas de Google ha advertido que Corea del Norte está utilizando EtherHiding—un malware que se oculta en contratos inteligentes de blockchain y permite el robo de criptomonedas—en sus operaciones de hackeo cibernético, mientras 2025 se perfila como un año récord para los robos de criptomonedas por parte del estado rebelde.
Aunque los investigadores de Google señalaron que EtherHiding ha sido utilizado por actores de amenazas con motivaciones financieras que abusan de blockchain para distribuir infostealers desde al menos septiembre de 2023, esta es la primera vez que observan su uso por parte de un estado nación. El malware es particularmente resistente a los métodos convencionales de eliminación y bloqueo.
"EtherHiding presenta nuevos desafíos, ya que las campañas tradicionales generalmente se han detenido bloqueando dominios e IPs conocidas", afirmaron los investigadores en una publicación de blog, señalando los contratos inteligentes en BNB Smart Chain y Ethereum como anfitriones de código malicioso. Los autores de malware podrían "aprovechar la blockchain para realizar más etapas de propagación de malware, ya que los contratos inteligentes operan de forma autónoma y no pueden cerrarse", agregaron.
Si bien los investigadores de seguridad pueden alertar a la comunidad etiquetando un contrato como malicioso en los escáneres oficiales de blockchain, señalaron que "aún se puede realizar actividad maliciosa".
La amenaza del hackeo norcoreano
Los hackers norcoreanos han robado más de $2.000 millones hasta ahora este año, la mayor parte proveniente del ataque de $1.460 millones al exchange de criptomonedas Bybit en febrero, según un informe de octubre de la firma de análisis blockchain Elliptic.
La RPDC también ha sido responsabilizada por los ataques a LND.fi, WOO X y Seedify, así como otros treinta hackeos, elevando el monto total robado por el país hasta la fecha a más de $6.000 millones. Estos fondos, según las agencias de inteligencia, ayudan a financiar los programas de armas nucleares y misiles del país.
Obtenidos mediante una combinación de ingeniería social, despliegue de malware y sofisticado espionaje cibernético, Corea del Norte ha desarrollado una mezcla de tácticas para obtener acceso a los sistemas financieros o datos sensibles de las empresas. El régimen ha demostrado estar dispuesto a hacer grandes esfuerzos para lograrlo, incluyendo la creación de empresas falsas y atacar a desarrolladores con ofertas de empleo falsas.
Otros casos reportados a Decrypt también muestran que los grupos de hackeo norcoreanos ahora están contratando a no coreanos para usarlos como fachadas y ayudarlos a pasar entrevistas para conseguir empleos en empresas tecnológicas y de criptomonedas, mientras los empleadores se vuelven más cautelosos con los norcoreanos que se hacen pasar por personas de otros lugares en las entrevistas. Los atacantes también pueden atraer a las víctimas a videollamadas o grabaciones falsas de podcasts en plataformas que luego muestran mensajes de error o solicitan descargas de actualizaciones que contienen código malicioso.
Los hackers norcoreanos también han atacado la infraestructura web convencional, subiendo más de 300 paquetes de código malicioso al registro npm, un repositorio de software de código abierto utilizado por millones de desarrolladores para compartir e instalar software JavaScript.
¿Cómo funciona EtherHiding?
El último giro de Corea del Norte para incluir EtherHiding en su arsenal se remonta a febrero de 2025, y desde entonces Google señaló que ha rastreado a UNC5342—un actor de amenazas norcoreano vinculado al grupo de hackeo del país FamousChollima—incorporando EtherHiding en su campaña de ingeniería social Contagious Interview.
El uso del malware EtherHiding implica incrustar código malicioso en los contratos inteligentes de blockchains públicas, y luego atacar a los usuarios a través de sitios de WordPress inyectados con un pequeño fragmento de código JavaScript.
"Cuando un usuario visita el sitio web comprometido, el script cargador se ejecuta en su navegador", explicaron los investigadores de Google. "Este script luego se comunica con la blockchain para recuperar la carga útil maliciosa principal almacenada en un servidor remoto".
Agregaron que el malware despliega una llamada de función de solo lectura (como eth_call), que no crea una transacción en la blockchain. "Esto asegura que la recuperación del malware sea sigilosa y evite las tarifas de transacción (es decir, tarifas de gas)", señalaron. "Una vez obtenida, la carga útil maliciosa se ejecuta en la computadora de la víctima. Esto puede llevar a diversas actividades maliciosas, como mostrar páginas de inicio de sesión falsas, instalar malware que roba información o desplegar ransomware".
Los investigadores advirtieron que esto "subraya la evolución continua" de las tácticas de los cibercriminales. "En esencia, EtherHiding representa un cambio hacia el alojamiento a prueba de balas de próxima generación, donde las características inherentes de la tecnología blockchain se reutilizan con fines maliciosos".