Depuis le début de l’année 2025, une nouvelle phase d’attaques informatiques a émergé, alliant techniques de blockchain et espionnage/vol de crypto. Un groupe lié à la Corée du Nord, désigné UNC5342, qui a adopté une technique appelée « EtherHiding » pour dissimuler des malwares dans des smart contracts publics.

Qu’est-ce que « EtherHiding » ?

EtherHiding est un terme qui décrit une technique d’abus des réseaux blockchain publics (comme Ethereum ou BNB Smart Chain) pour y stocker ou y référencer, via un smart contract, des composants malveillants.

Voici les éléments clés à comprendre concernant cette attaque :

• Un smart contract est un programme immuable déployé sur une blockchain publique. Une fois déployé, le code ne peut plus être modifié ou tout du moins ne peut plus être remplacé par un code entièrement différent, sauf par des techniques prévues à l’avance.
• EtherHiding exploite cette immutabilité : les attaquants insèrent ou référencent du code malveillant (souvent sous forme encodée ou chiffrée) dans un smart contract.
• Ensuite, la phase de récupération du code malveillant se fait via un appel en lecture seule (par exemple une méthode eth_call dans Ethereum) : l’attaquant ou le script malveillant récupère les données, les décode, puis les exécute sur la machine de la victime. Notamment, aucun nouveau bloc n’est créé (aucune transaction modifiant l’état), ce qui réduit la trace.
• Le fait que le smart contract soit hébergé sur la blockchain lui donne une résilience élevée : difficile à supprimer ou bloquer, contrairement à un serveur centralisé hébergeant un C2 (command & control).

Bref, EtherHiding transforme la blockchain en une infrastructure de type « bullet-proof hosting » malveillant : on y dépose des modules malveillants, on en règlent les paramètres (via des variables de stockage) et la récupération est discrète.

L’attaque de UNC5342 : déroulé et particularités

Voyons comment cette campagne est montée. Les renseignements proviennent notamment de la Google Threat Intelligence Group (GTIG) et de plusieurs firmes de cybersécurité.

Qui est UNC5342 ?

Ce groupe, lié à la République populaire démocratique de Corée (RPDC, ou Corée du Nord), est aussi connu sous de multiples alias : CL-STA-0240, Famous Chollima, Gwisin Gang, Tenacious Pungsan, Void Dokkaebi. Leur objectif est double : espionnage (accès non autorisé à des machines) et vol de cryptomonnaies. Ce second aspect étant réputé financer des programmes étatiques mais à ma connaissance je n’ai pas trouvé de preuve de cela. Ca reste un sérieux acteur dans le monde du hacking !

Le contexte de la campagne

La campagne s’inscrit dans ce que l’on appelle l’opération « Contagious Interview ».

1. L’attaquant prend contact avec une cible, souvent un développeur ou un professionnel du Web3 ou des technologies de cryptomonnaie, via LinkedIn ou des plateformes de recrutement.
2. Il se fait passer pour un recruteur ou un manager, propose un entretien technique ou une mission/test, souvent via Discord ou Telegram.
3. Au cours de l’entretien ou de l’évaluation, la victime est amenée à télécharger un logiciel soi-disant nécessaire à l’entretien ou à l’évaluation (par exemple un package npm, un installeur…).
4. Le logiciel installe un downloader qui contacte un smart contract via EtherHiding pour récupérer un script puis installe un backdoor sur le système de la victime.

C’est vicieux, mais vachement réaliste et on peut rapidement tomber dans le panneau. C’est d’ailleurs la première fois il me semble, qu’un acteur étatique (UNC5342) est identifié comme utilisant EtherHiding. Jusqu’alors, cette technique avait surtout été utilisée par des acteurs cybercriminels pour des vols de masse. L’utilisation d’un smart contract public comme infrastructure de malveillance rend le dispositif beaucoup plus résilient : même si les sites de distribution sont fermés, le contrat reste actif sur la blockchain.

Les avantages et les défis pour les attaquants & les défenseurs

Du point de vue des attaquants

• Infrastructure résiliente : Une fois contract déployé, il est quasi impossible de le supprimer.
• Coût faible : Le coût de mise à jour peut être très faible (quelques dollars de frais) et la récupération en lecture seule ne génère pas de frais.
• Anonymat et traçabilité réduite : L’utilisation de smart contracts publics, combinée à des transactions en lecture seule (eth_call), laisse peu de traces classiques.
• Agilité : Les attaquants peuvent modifier le comportement (URL, payload, etc.) via des variables stockées dans le contrat, sans changer l’exécutable initial.

Du côté des défenseurs

• Difficulté de blocage : On ne peut pas « fermer » une blockchain publique, ni bloquer un smart contract comme un serveur malveillant classique.
• Détection complexe : Les outils traditionnels ne sont pas adaptés pour fouiller des smart contracts à la recherche de code malveillant ou d’utilisation détournée.
• Nouveauté de la technique : Peu d’organisations ont encore des processus couvrant ce type d’infrastructure.
• Attaque ciblée : Le fait que ces campagnes visent des profils techniques (développeurs, Web3) peut rendre la détection plus difficile, car l’utilisateur se pense souvent « habitué » à télécharger des outils ou packages.

Au-delà du vol pur, l’installation d’un backdoor permet un accès prolongé aux machines compromises, ce qui ouvre la voie à la fuite de données sensibles, l’espionnage, ou l’accès à des infrastructures internes. Par exemple, certains articles mentionnent que des modules de keylogging, capture d’écran et surveillance du presse-papier ont été intégrés dans les outils malveillants.

Je considère que EtherHiding dans les mains d’un acteur étatique comme UNC5342 marque un tournant. C’est un signal fort : ceux qui défendent les systèmes d’information doivent désormais prendre en compte des infrastructures que l’on pensait innovantes mais non malveillantes. La blockchain publique, immuable et décentralisée, a été redéfinie en hébergement malveillant. Si votre organisation est impliquée dans le domaine des cryptomonnaies, de la blockchain ou dispose de développeurs Web3, je vous recommande de revoir au plus vite vos processus de sécurité liés aux outils externes, aux smart contracts, et à la vigilance sur les processus de recrutement/entretien.

Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :