UNC5142 adlı tehdit aktörü, Windows ve macOS platformlarını hedef alan Atomic (AMOS), Lumma, Rhadamanthys (RADTHIEF) ve Vidar gibi bilgi çalma yazılımlarını yaymak için blockchain akıllı sözleşmelerini kullanıyor. Google Tehdit İstihbarat Grubu (GTIG) tarafından paylaşılan rapora göre, UNC5142 ele geçirilmiş WordPress siteleri üzerinden kötü amaçlı JavaScript kodlarını BNB Smart Chain gibi halka açık blockchain ağlarına yerleştirerek gizleme amacı güden EtherHiding tekniğini kullanıyor.
Enfekte WordPress Siteleri ve Çok Aşamalı Saldırı Zinciri
Haziran 2025 itibarıyla yaklaşık 14.000 web sayfasında UNC5142 ile ilişkili kötü amaçlı JavaScript tespit edildi. Bu kodlar, WordPress eklenti ve tema dosyalarına ya da doğrudan veritabanına ekleniyor. İlk aşamada, BNB Smart Chain üzerinde depolanan kötü amaçlı akıllı sözleşmeyle etkileşime geçen JavaScript, CLEARSHORT adlı çok aşamalı indiriciyi tetikliyor. Bu akıllı sözleşme, dış sunucudan açılış sayfasını çekerek ClickFix sosyal mühendislik taktiğiyle kullanıcıları Windows Çalıştır veya macOS Terminal uygulamasında zararlı komutlar çalıştırmaya yönlendiriyor.
Windows ve macOS Hedefli Saldırılar
Windows sistemlerde, MediaFire üzerinden indirilen HTML Uygulaması (HTA) dosyası PowerShell betiği aracılığıyla şifreli kötü amaçlı yükü GitHub, MediaFire veya kendi altyapılarından indirip bellekte çalıştırıyor. macOS saldırılarında ise Terminal’de bash komutları kullanılarak uzak sunucudan Atomic Stealer yükü curl komutuyla çekiliyor. Bu teknikler, savunmaları aşmak ve stealer kötü amaçlı yazılımı sistemde aktif hale getirmek için tasarlanmış.
Blockchain Tabanlı Operasyonlarda Yüksek Çeviklik ve Dayanıklılık
UNC5142, operasyonlarını tek sözleşmeli yapıdan üç akıllı sözleşmeli karmaşık bir mimariye evriltmiş durumda. Proxy deseni kullanılarak geliştirilen bu yapı, kritik saldırı bileşenlerinin hızlı güncellenmesine olanak sağlıyor ve böylece kampanyalar daha çevik ve engellemeye karşı dirençli hale geliyor. Akıllı sözleşmelerdeki veriler değiştirilebilir olduğundan, tehdit aktörü yük URL’lerini düşük maliyetlerle güncelleyebiliyor. İki paralel akıllı sözleşme altyapısı kullanılarak operasyonel esneklik ve yeni tuzakların test edilmesi sağlanıyor.
Sonuç ve Değerlendirme
Yaklaşık bir buçuk yıldır devam eden UNC5142 operasyonları, yüksek sayıda ele geçirilmiş site ve sürekli güncellenen kötü amaçlı yazılım çeşitliliğiyle önemli bir başarı elde etmiş görünüyor. Blockchain teknolojisinin kötüye kullanımı, bu tehdit aktörünün tespit edilmesini zorlaştırırken, Web3 ekosistemi üzerindeki güvenlik risklerini de artırıyor.