De Noord-Koreaanse dreigingsactor UNC5342 gebruikt een nieuwe techniek om malware te verspreiden via publieke blockchains: EtherHiding. Onderzoekers van Google Threat Intelligence ontdekten dat de groep sinds begin 2025 deze methode gebruikt binnen een social-engineeringcampagne gericht op ontwikkelaars in de crypto- en technologiesector.

EtherHiding maakt gebruik van slimme contracten op blockchains zoals Ethereum en BNB Smart Chain om kwaadaardige code te verbergen en te verspreiden. Deze aanpak biedt aanvallers een vrijwel onverwoestbare infrastructuur, aangezien de data op de blockchain decentraal, transparant en onveranderbaar is. In de context van cybercriminaliteit geldt EtherHiding als een vorm van bulletproof hosting. Dat is infrastructuur die immuun is voor juridische of technische verwijdering.

In de campagne benadert UNC5342 slachtoffers via valse vacatures. De aanvallers doen zich voor als recruiters van bekende technologiebedrijven en overtuigen doelwitten om testopdrachten uit te voeren. Of om bestanden te downloaden. Deze bestanden bevatten de JADESNOW-malware, een JavaScript-loader.

Die maakt verbinding met een slim contract op de blockchain. Daarin bevindt zich een versleutelde payload die na ontsleuteling de tweede infectiefase in gang zet. Uiteindelijk wordt de backdoor INVISIBLEFERRET uitgevoerd, waarmee de aanvallers langdurige toegang tot het systeem verkrijgen en gegevens of cryptovaluta kunnen stelen.

Blockchain biedt actoren bescherming

Volgens Google-onderzoekers gebruiken naast UNC5342 ook financieel gemotiveerde actoren, zoals UNC5142, EtherHiding voor het verspreiden van malware. De voordelen van deze techniek zijn aanzienlijk: de decentrale aard van blockchains voorkomt dat slimme contracten worden verwijderd, de onveranderlijkheid beschermt tegen aanpassing, transacties blijven pseudoniem en het ophalen van de malware laat geen sporen na in logbestanden.

Bovendien kunnen aanvallers hun kwaadaardige code op elk moment updaten. Het aanmaken of aanpassen van een smart contract kost doorgaans minder dan twee dollar, wat EtherHiding tot een goedkope en efficiënte methode maakt.

De toepassing van EtherHiding illustreert hoe blockchaintechnologie, oorspronkelijk bedoeld voor transparantie en decentralisatie, wordt misbruikt als permanent command-and-controlmechanisme. Noord-Korea’s groeiende cybercapaciteit ondersteunt deze verschuiving. Volgens blockchainanalysebedrijf Elliptic heeft het land in 2025 al meer dan twee miljard dollar aan cryptovaluta buitgemaakt. EtherHiding markeert zo een nieuw hoofdstuk in de convergentie van statelijke cyberoperaties, financiële motieven en Web3-infrastructuren.