Kod adı finansal motivasyona sahip bir tehdit aktörü UNC5142 Hem Windows hem de Apple macOS sistemlerini hedef alan Atomic (AMOS), Lumma, Rhadamanthys (diğer adıyla RADTHIEF) ve Vidar gibi bilgi hırsızlarının dağıtımını kolaylaştırmanın bir yolu olarak blockchain akıllı sözleşmelerinin kötüye kullanıldığı gözlemlendi.
Google Tehdit İstihbarat Grubu (GTIG), The Hacker News ile paylaşılan bir raporda, “UNC5142, ele geçirilmiş WordPress web siteleri ve kötü amaçlı kod veya verileri BNB Akıllı Zincir gibi halka açık bir blok zincirine yerleştirerek gizlemek için kullanılan bir teknik olan ‘EtherHiding’ kullanımıyla karakterize ediliyor.” dedi.
Haziran 2025 itibarıyla Google, UNC5142 ile ilişkili davranışlar sergileyen, enjekte edilmiş JavaScript içeren yaklaşık 14.000 web sayfasını işaretlediğini ve bu durumun savunmasız WordPress sitelerinin ayrım gözetmeksizin hedeflendiğini gösterdiğini söyledi. Ancak teknoloji devi, 23 Temmuz 2025’ten bu yana herhangi bir UNC5142 faaliyeti tespit etmediğini, bunun bir duraklama veya operasyonel dönüş sinyali verdiğini belirtti.
EtherHiding, ilk olarak Ekim 2023’te Guardio Labs tarafından, sahte tarayıcı güncelleme uyarıları sunan virüslü siteler aracılığıyla Binance’in Akıllı Zincir (BSC) sözleşmelerinden yararlanılarak kötü amaçlı kod sunulmasını içeren saldırıların ayrıntılarıyla belgelendi.
Saldırı zincirlerini destekleyen önemli bir husus, kötü amaçlı yazılımın saldırıya uğrayan siteler aracılığıyla dağıtılmasını sağlayan CLEARSHORT adlı çok aşamalı bir JavaScript indiricisidir. İlk aşama, BNB Akıllı Zincir (BSC) blok zincirinde depolanan kötü amaçlı bir akıllı sözleşmeyle etkileşime girerek ikinci aşamayı almak için web sitelerine eklenen bir JavaScript kötü amaçlı yazılımıdır. İlk aşamadaki kötü amaçlı yazılım, eklentiyle ilgili dosyalara, tema dosyalarına ve hatta bazı durumlarda doğrudan WordPress veritabanına eklenir.
Akıllı sözleşme, harici bir sunucudan CLEARSHORT açılış sayfasını almaktan sorumludur; bu sayfa da kurbanları Windows Çalıştır iletişim kutusunda (veya Mac’lerdeki Terminal uygulamasında) kötü amaçlı komutlar çalıştırmaya yönlendirmek için ClickFix sosyal mühendislik taktiğini kullanır ve sonuçta sisteme hırsız amaçlı kötü amaçlı yazılım bulaştırır. Genellikle Cloudflare .dev sayfasında barındırılan açılış sayfaları, Aralık 2024 itibarıyla şifrelenmiş bir biçimde alınır.
Windows sistemlerinde kötü amaçlı komut, MediaFire URL’sinden indirilen bir HTML Uygulaması (HTA) dosyasının yürütülmesini gerektirir; bu dosya daha sonra savunmaları atlatmak için bir PowerShell betiğini bırakır, şifrelenmiş son yükü GitHub veya MediaFire’dan veya bazı durumlarda kendi altyapılarından alır ve hırsızı, yapıyı diske yazmadan doğrudan bellekte çalıştırır.
Şubat ve Nisan 2025’te macOS’u hedef alan saldırılarda saldırganların, kullanıcıyı Terminal’de bir kabuk betiği alan bir bash komutu çalıştırmaya yönlendirmek için ClickFix tuzaklarını kullandıkları tespit edildi. Komut dosyası daha sonra uzak sunucudan Atomic Stealer yükünü almak için curl komutunu kullanır.
CLEARSHORT’un, Mart 2025’te Fransız siber güvenlik şirketi Sekoia tarafından kapsamlı bir analize konu olan ClearFake’in bir çeşidi olduğu değerlendiriliyor. ClearFake, zararlı web sitelerine, arabayla indirme tekniği yoluyla kötü amaçlı yazılım dağıtmak için kullanılan hileli bir JavaScript çerçevesidir. Temmuz 2023’ten bu yana aktif olduğu ve saldırıların Mayıs 2024 civarında ClickFix’i benimsediği biliniyor.
Akıllı teknik yalnızca meşru Web3 etkinliğiyle uyum sağlamakla kalmayıp, aynı zamanda UNC5142’nin operasyonlarının tespit ve kaldırma çabalarına karşı dayanıklılığını da arttırdığından, blockchain’in kötüye kullanılması çeşitli avantajlar sunmaktadır.
Google, tehdit aktörünün kampanyalarının geçen yıl önemli bir evrime tanık olduğunu, daha iyi operasyonel çeviklik için Kasım 2024’ten itibaren tek sözleşmeli bir sistemden daha karmaşık bir üç akıllı sözleşme sistemine geçiş yaptığını ve bu Ocak ayının başlarında daha fazla iyileştirmenin gözlemlendiğini söyledi.
“Bu yeni mimari, geliştiricilerin sözleşmelerini yükseltilebilir hale getirmek için kullandıkları proxy modeli olarak bilinen meşru bir yazılım tasarım ilkesinin bir uyarlamasıdır” diye açıkladı.
“Kurulum, her sözleşmenin belirli bir işe sahip olduğu son derece verimli bir Yönlendirici-Mantık-Depolama mimarisi olarak işlev görüyor. Bu tasarım, güvenliği ihlal edilmiş web sitelerinde JavaScript’i değiştirmeye gerek kalmadan, saldırının açılış sayfası URL’si veya şifre çözme anahtarı gibi kritik bölümlerinin hızlı güncellemelerine olanak tanıyor. Sonuç olarak, kampanyalar çok daha çevik ve yayından kaldırmalara karşı daha dirençli.”
UNC5142 bunu, yük URL’sini değiştirmek için akıllı sözleşme verilerinin değişken doğasından yararlanarak (program kodunun dağıtıldıktan sonra değiştirilemez olduğunu belirtmekte fayda var) kullanarak başarır ve bu güncellemeleri gerçekleştirmek için ağ ücretlerinde 0,25 ila 1,50 ABD Doları arasında bir maliyete neden olur.
Daha ayrıntılı analizler, tehdit aktörünün CLEARSHORT indiricisi aracılığıyla hırsızlığa yönelik kötü amaçlı yazılım sunmak için iki farklı akıllı sözleşme altyapısı kümesini kullandığını belirledi. Ana altyapının 24 Kasım 2024’te oluşturulduğu, paralel İkincil altyapının ise 18 Şubat 2025’te finanse edildiği söyleniyor.
GTIG, “Ana altyapı, erken oluşturulması ve sürekli güncelleme akışıyla dikkat çeken temel kampanya altyapısı olarak öne çıkıyor.” dedi. “İkincil altyapı, muhtemelen kampanya faaliyetlerindeki belirli bir artışı desteklemek, yeni yemleri test etmek veya yalnızca operasyonel esneklik oluşturmak için oluşturulmuş paralel, daha taktiksel bir dağıtım olarak görünüyor.”
“Geçtiğimiz bir buçuk yıl boyunca enfeksiyon zincirinde yapılan sık güncellemeler ile tutarlı operasyonel tempo, güvenliği ihlal edilen web sitelerinin yüksek hacmi ve dağıtılmış kötü amaçlı yazılım yüklerinin çeşitliliği göz önüne alındığında, UNC5142’nin operasyonlarında bir miktar başarı elde etmesi muhtemeldir.”