一、区块链驱动的隐匿式分发机制的转变
Mandiant 指出,自 2023 年底以来,UNC5142 显著改进了其战术、技术与流程(TTPs),通过一种名为 EtherHiding 的方法,将恶意代码或数据存储在公共区块链上(如 BNB 智能链),实现“藏身于链上”的效果。
与传统利用服务器分发载荷不同,UNC5142 直接将恶意内容写入智能合约中,而智能合约一旦部署,几乎无法删除。这使其得以实现长期持久化,并将恶意流量掺杂进正常的区块链交易中。
二、攻击链与核心组件:CLEARSHORT
截至 2025 年 6 月,GTIG 识别出约 14,000 个包含 UNC5142 注入脚本的网页。这些网站的 JavaScript 代码会加载一个名为 CLEARSHORT 的多级下载器,从而启动完整的攻击链。
攻击流程如下:
三、多级智能合约系统架构
Mandiant 将 UNC5142 的攻击系统描述为一个多级智能合约网络,其中每级合约承担不同职能:
这种架构借鉴了合法软件工程中的模块化设计理念——静态逻辑与动态配置分离,使攻击者仅需一次低成本交易,即可轮换域名、更新诱饵或替换密钥,实现快速灵活的运维。
四、智能合约的隐蔽性与低成本优势
智能合约使得恶意代码更难被传统 Web 安全扫描发现。攻击者可在不修改合约逻辑的前提下更新存储数据(如载荷 URL),实现即时更新和运营稳定。
报告指出,典型的合约更新操作(如更换诱饵 URL 或解密密钥)仅需 0.25 至 1.50 美元 的网络费用,使得大规模、低成本、持续性攻击成为可能。
五、社会工程与诱饵策略的演进
UNC5142 持续更新社会工程诱饵页面,以伪装合法性并提升诱骗成功率:
这些诱饵均托管在 Cloudflare Pages(*.pages.dev) 等合法平台上,利用其信任背书逃避拦截,并可在旧页面被封后迅速替换。
这种“可信托管 + 区块链分发”的组合,使 UNC5142 攻击体系具备高度弹性与持久性。
六、区块链基础设施与资金流分析
Mandiant 的链上分析显示,UNC5142 运营着两个并行基础设施集群:
两者均基于相同智能合约模板构建,资金来源追溯至 OKX 加密货币交易所 的相关钱包地址。这种镜像式部署体现了攻击者在抗封锁与资源冗余上的高度规划性。
七、多平台投放与防御规避
UNC5142 用作多平台恶意软件分发载体,涉及多种信息窃取程序:
2025 年 2 月与 4 月,该组织针对 macOS 通过 curl 下载并执行恶意脚本部署 ATOMIC,同时移除苹果系统的 com.apple.quarantine 属性以绕过安全提示——这是典型的防御规避手段。
八、趋势判断:去中心化网络犯罪的拐点
报告总结,UNC5142 展现出极强的灵活性、快速迭代能力以及对新兴技术的敏锐把控。通过将 智能合约、可信托管服务与高级 JavaScript 下载器 融合,UNC5142 构建出一种前所未有的混合式攻击基础设施。这一案例不仅揭示了区块链被武器化的现实,也标志着网络犯罪正向 去中心化、可编程与高弹性 的方向迈进——成为未来网络威胁格局的一个重要转折点。