Dunia keamanan siber digegerkan dengan taktik baru yang digunakan oleh kelompok kejahatan siber bermotif finansial yang dijuluki UNC5142. Kelompok ini dilaporkan menyalahgunakan kontrak pintar (smart contract) blockchain sebagai sarana tersembunyi untuk mendistribusikan malware pencuri informasi (stealer), seperti Atomic (AMOS), Lumma, Rhadamanthys, dan Vidar, yang menargetkan sistem Windows dan macOS.

Teknik licik yang digunakan UNC5142 disebut "EtherHiding"—suatu metode menyembunyikan kode berbahaya atau data sensitif dengan menempatkannya pada public blockchain, khususnya BNB Smart Chain (BSC).

Menurut Google Threat Intelligence Group (GTIG), UNC5142 memanfaatkan situs web WordPress yang rentan dengan menyuntikkan (injected) JavaScript. Hingga Juni 2025, Google telah menandai sekitar 14.000 laman web yang menunjukkan perilaku terkait UNC5142, mengindikasikan penargetan situs WordPress secara besar-besaran.

EtherHiding pertama kali didokumentasikan pada Oktober 2023, di mana serangan melibatkan penyajian kode berbahaya melalui kontrak BSC yang dimuat dari situs terinfeksi, seringkali berupa peringatan pembaruan browser palsu.

Baca Juga: Tiongkok Tuduh NSA AS Serang Pusat Waktu Nasional, Ancam Komunikasi dan Finansial

Inti dari serangan ini adalah JavaScript downloader bertingkat yang disebut CLEARSHORT.

1. Stage 1 (Injeksi Website): Malware JavaScript disuntikkan ke berkas plugin, theme, atau langsung ke database WordPress korban.
2. Stage 2 (Interaksi Blockchain): Malware tahap pertama berinteraksi dengan kontrak pintar berbahaya yang tersimpan di BNB Smart Chain untuk mengambil tahap kedua.
3. Stage 3 (ClickFix): Kontrak pintar memberikan link ke laman landing page CLEARSHORT (biasanya di-host pada Cloudflare .dev) yang menggunakan taktik social engineering "ClickFix"—menipu korban untuk menjalankan perintah berbahaya pada dialog Windows Run atau aplikasi Terminal di Mac.

UNC5142 menunjukkan evolusi signifikan. Sejak November 2024, mereka beralih dari sistem satu kontrak menjadi tiga kontrak pintar yang lebih canggih. Arsitektur baru ini mirip dengan pola desain perangkat lunak yang sah (proxy pattern), memungkinkan peretas untuk melakukan pembaruan cepat pada bagian kritis serangan (seperti URL landing page atau kunci dekripsi) tanpa harus memodifikasi JavaScript di ribuan situs yang telah dikompromikan.

Keuntungan besar penyalahgunaan blockchain adalah peningkatan ketahanan operasional UNC5142 terhadap upaya deteksi dan takedown. Blockchain tidak hanya menyatu dengan aktivitas Web3 yang sah, tetapi juga memanfaatkan sifat data smart contract yang dapat diubah untuk mengubah URL payload hanya dengan biaya jaringan (fee) antara $0,25 hingga $1,50 per pembaruan.

Metode Eksekusi pada Windows dan macOS

• Windows: Perintah berbahaya mengeksekusi berkas HTML Application (HTA) yang diunduh dari MediaFire. HTA ini kemudian menjalankan skrip PowerShell untuk melewati pertahanan, mengambil payload akhir (stealer) yang terenkripsi dari GitHub, MediaFire, atau infrastruktur mereka sendiri, dan menjalankan stealer tersebut langsung di memori (in memory).
• macOS: Pada serangan Februari dan April 2025, hacker menggunakan umpan ClickFix untuk meminta pengguna menjalankan perintah bash pada Terminal. Perintah ini kemudian menggunakan curl untuk mendapatkan payload Atomic Stealer dari server jarak jauh.

Mengingat volume situs yang dikompromikan dan keragaman malware yang didistribusikan, GTIG menilai bahwa UNC5142 kemungkinan besar telah mencapai tingkat kesuksesan yang signifikan dengan operasinya selama satu setengah tahun terakhir.