EtherHiding: ecco come ClearFake usa smart contract su BSC Testnet per nascondere il C2

ClearFake rappresenta una delle evoluzioni più insidiose del comando e controllo malware perché sposta il C2 fuori dalle infrastrutture tradizionali e lo nasconde dentro gli smart contract della BSC Testnet. La tecnica, analizzata da Trend Micro e conosciuta come EtherHiding, consente agli attaccanti di inserire istruzioni, payload e parametri operativi nei dati delle transazioni blockchain, trasformando un ambiente pubblico e decentralizzato in una piattaforma persistente per la gestione di infezioni, download di malware e furto di credenziali. Il framework malevolo simula aggiornamenti del browser e sfrutta l’ingegneria sociale per distribuire SectopRAT e ACRStealer, riducendo la dipendenza da domini, server cloud o indirizzi IP facilmente bloccabili. La campagna dimostra come gli attori malevoli stiano usando la blockchain non come semplice canale accessorio, ma come infrastruttura operativa capace di garantire resilienza, anonimato relativo, aggiornamento continuo dei comandi e una superficie di rilevamento molto più complessa per i sistemi di difesa tradizionali.

EtherHiding trasforma la blockchain in un comando e controllo attivo

EtherHiding introduce un cambiamento sostanziale nell’architettura del comando e controllo perché permette a ClearFake di recuperare istruzioni direttamente dagli smart contract invece di contattare domini malevoli o server remoti riconoscibili. Gli operatori codificano comandi e payload nei campi dati delle transazioni su BSC Testnet, quindi il framework JavaScript malevolo interroga la blockchain, estrae i dati necessari, li decodifica ed esegue le azioni previste sul sistema compromesso. Questa logica elimina il singolo punto di fallimento che caratterizza molti C2 classici, dove il blocco di un dominio, il sequestro di un server o l’inserimento di un indirizzo IP in blacklist può interrompere l’intera campagna. Nel modello adottato da ClearFake, invece, gli attaccanti aggiornano le istruzioni inviando nuove transazioni allo smart contract e mantengono il controllo dell’operazione senza dover modificare continuamente infrastrutture esterne. La scelta della BSC Testnet riduce anche i costi operativi, perché consente di sfruttare un ambiente di test con transazioni economiche o gratuite, utile per nascondere attività malevole dentro un flusso apparentemente legittimo di interazioni blockchain. Il risultato è un’infrastruttura C2 on-chain molto più resiliente, dove il traffico verso la rete blockchain può confondersi con attività ordinarie e dove gli indicatori tradizionali, come URL, domini appena registrati o server sospetti, diventano meno efficaci. ClearFake opera così in modo più stealthy, sfruttando la decentralizzazione, l’immutabilità e la disponibilità pubblica della blockchain per costruire un canale di comunicazione che non dipende da asset centralizzati facilmente neutralizzabili.

ClearFake usa falsi aggiornamenti browser per distribuire SectopRAT e ACRStealer

La catena di infezione di ClearFake si basa su una componente di ingegneria sociale ormai consolidata: la simulazione di aggiornamenti del browser. L’utente viene indotto a eseguire codice malevolo presentato come update necessario, mentre dietro l’interfaccia ingannevole si attiva un framework JavaScript progettato per interrogare il C2 on-chain e scaricare i moduli successivi. In questa architettura, ClearFake agisce come loader principale e può distribuire SectopRAT per il controllo remoto completo del dispositivo oppure ACRStealer per il furto mirato di credenziali, password salvate nei browser, dati da wallet e informazioni contenute nelle applicazioni installate.

SectopRAT consente agli operatori di mantenere capacità operative sull’host infetto, eseguire comandi, osservare attività e preparare ulteriori fasi dell’attacco, mentre ACRStealer concentra la propria funzione sull’esfiltrazione di dati monetizzabili. Il contatto con lo smart contract determina quali payload attivare, quali istruzioni eseguire e come adattare l’infezione allo stato della macchina compromessa. Questo rende la campagna modulare e dinamica, perché gli attaccanti possono cambiare comportamento inviando nuove istruzioni on-chain senza ricostruire l’intero impianto dell’attacco. La forza del modello sta nella separazione tra vettore iniziale, loader e infrastruttura di controllo: il falso aggiornamento serve a ottenere l’esecuzione locale, ClearFake gestisce il flusso operativo, mentre la BSC Testnet diventa il luogo in cui comandi e parametri vengono aggiornati e recuperati. In questo modo, la comunicazione malevola assume una forma meno riconoscibile rispetto ai callback verso endpoint sospetti, e la difesa basata su indicatori statici perde una parte importante della propria efficacia.

Il tracker on-chain registra le vittime e rende persistente la campagna

Uno degli elementi più rilevanti di ClearFake è la presenza di un tracker on-chain capace di registrare le vittime infette direttamente nello smart contract. Questa funzione consente agli operatori di ottenere un elenco aggiornato degli host compromessi senza mantenere database centrali, pannelli di controllo esposti o server di backend vulnerabili a sequestro, sinkhole o takedown. Ogni infezione può essere segnalata attraverso la blockchain e diventare parte di un registro distribuito, persistente e interrogabile dagli attaccanti in tempo reale. La scelta rafforza il modello operativo perché consente di verificare rapidamente quali host risultano ancora attivi, quali dispositivi hanno completato l’infezione e quali macchine mostrano eventuali segnali di rilevamento o pulizia parziale. ClearFake può quindi ottimizzare la distribuzione dei payload, concentrare risorse su vittime ancora valide e disattivare selettivamente moduli nei casi in cui l’ambiente appaia rischioso. Il tracker sfrutta l’immutabilità della blockchain per creare una memoria distribuita delle compromissioni, riducendo la necessità di infrastrutture server-side tradizionali. Questa impostazione aumenta la resilienza complessiva della campagna e complica l’attività difensiva, perché l’analista non deve più limitarsi a identificare un endpoint di comando, ma deve ricostruire logiche di interazione con contratti intelligenti, indirizzi blockchain, dati codificati e pattern transazionali. La campagna dimostra così che il C2 blockchain non è solo un canale per inviare istruzioni, ma può diventare un ambiente operativo completo, capace di supportare tracciamento, aggiornamento, gestione dello stato delle infezioni e raccolta di dati strategici sugli host compromessi.

Gli smart contract rendono più difficile il takedown del C2

L’uso degli smart contract su BSC Testnet offre a ClearFake una resilienza superiore rispetto alle infrastrutture di comando e controllo basate su server tradizionali. In un modello classico, la difesa può agire contro domini, hosting provider, indirizzi IP, certificati o account cloud utilizzati dagli attaccanti. Nel modello on-chain, invece, il codice distribuito e le transazioni pubblicate sulla blockchain non possono essere rimosse con la stessa immediatezza. Una volta deployato lo smart contract, gli operatori possono aggiornarne i parametri, spostarsi verso nuovi contratti o modificare la logica di recupero dei dati attraverso nuove transazioni. Questo riduce l’impatto dei takedown e rende più difficile spegnere rapidamente l’intera infrastruttura. ClearFake sfrutta la natura permissionless della blockchain per creare un ambiente in cui l’attività malevola si sovrappone a un ecosistema legittimo, pubblico e distribuito. La BSC Testnet diventa particolarmente adatta perché consente sperimentazione, bassi costi e minore attenzione rispetto alle reti principali. Il problema difensivo non riguarda soltanto la rimozione tecnica del contratto, ma anche l’identificazione tempestiva delle transazioni rilevanti, la decodifica dei payload, la correlazione tra indirizzi, l’analisi dei pattern e la distinzione tra attività lecite e uso malevolo della rete. Questo sposta il lavoro degli analisti da un modello basato su indicatori di compromissione tradizionali a un modello ibrido, nel quale blockchain intelligence, reverse engineering del codice JavaScript e telemetria endpoint devono convergere. ClearFake mostra quindi come la decentralizzazione possa essere abusata per aumentare la sopravvivenza delle campagne malware e rendere il comando e controllo meno vulnerabile ai metodi di neutralizzazione convenzionali.

SectopRAT e ACRStealer diventano estensioni di un’infrastruttura decentralizzata

Nel caso di ClearFake, SectopRAT e ACRStealer non sono semplicemente payload secondari, ma componenti operative di una catena distribuita. Il framework JavaScript riceve istruzioni on-chain e decide quali moduli attivare in base ai comandi codificati dagli operatori. SectopRAT fornisce capacità di accesso remoto, controllo della macchina, esecuzione di istruzioni e persistenza operativa, mentre ACRStealer punta alla raccolta di credenziali, informazioni sensibili, dati da browser e potenziali asset collegati a wallet o servizi online. L’aspetto più critico è che la distribuzione dei payload non dipende da un C2 centralizzato, ma da un sistema in cui la blockchain funge da livello di orchestrazione. Questo rende più difficile interrompere la campagna dopo la fase iniziale, perché anche quando un dominio usato per il lure viene bloccato, la logica di comando può sopravvivere altrove. Gli attaccanti ottengono un vantaggio operativo importante: possono sostituire payload, modificare istruzioni, tracciare infezioni e adattare la catena di attacco senza esporre continuamente nuovi server. La comunicazione con la blockchain riduce inoltre l’impronta di rete tipica dei malware che contattano infrastrutture note o compromesse. SectopRAT e ACRStealer diventano così estensioni di un modello di comando più resiliente, dove il valore non è soltanto nel singolo malware, ma nella capacità di coordinarlo attraverso un canale distribuito e più difficile da bloccare. Questa evoluzione conferma una tendenza più ampia: i gruppi criminali cercano infrastrutture pubbliche, scalabili e resistenti per nascondere attività offensive dentro ambienti nati per scopi legittimi.

Il rilevamento tradizionale perde efficacia contro il traffico blockchain malevolo

La campagna ClearFake evidenzia un limite strutturale degli strumenti di difesa basati prevalentemente su indicatori statici. Le comunicazioni verso la BSC Testnet possono apparire come traffico blockchain legittimo, soprattutto in ambienti dove sviluppatori, applicazioni decentralizzate o strumenti Web3 interagiscono regolarmente con nodi e servizi RPC. Questo riduce l’efficacia delle blacklist tradizionali e costringe i team di sicurezza ad analizzare il contesto delle connessioni, il comportamento dei processi locali, la presenza di script JavaScript anomali e la relazione tra endpoint e indirizzi smart contract. ClearFake dimostra che il perimetro difensivo non coincide più soltanto con rete aziendale, endpoint e cloud provider, ma si estende alle infrastrutture decentralizzate. Le organizzazioni devono quindi integrare capacità di monitoraggio on-chain, correlare indirizzi blockchain sospetti, osservare pattern di transazioni ricorrenti e costruire indicatori basati su contratti, funzioni, calldata e sequenze operative. L’analisi deve inoltre collegare il comportamento locale del malware alla logica remota del contratto, perché la sola osservazione del traffico non basta a stabilire con chiarezza l’intento malevolo. Diventa fondamentale rilevare processi che eseguono codice JavaScript sospetto, connessioni insolite verso endpoint RPC, download di payload successivi e tentativi di accesso a credenziali salvate nei browser. L’evoluzione del C2 on-chain obbliga così i difensori a superare il modello centrato su URL e IP, adottando una postura più comportamentale e contestuale. La campagna rende evidente che il malware moderno può sfruttare infrastrutture pubbliche e apparentemente neutre per nascondere attività di controllo, persistenza ed esfiltrazione.

ClearFake segna l’evoluzione del comando e controllo decentralizzato

ClearFake segna un punto di svolta perché dimostra che il comando e controllo decentralizzato non è più una possibilità teorica, ma una tecnica concreta usata in campagne malware reali. L’abuso degli smart contract e della BSC Testnet consente agli attaccanti di ottenere persistenza, aggiornabilità e resilienza senza investire in infrastrutture server complesse. EtherHiding combina semplicità di implementazione e difficoltà di neutralizzazione, offrendo agli operatori un modo per nascondere istruzioni malevole dentro transazioni pubbliche e difficili da rimuovere. La campagna mostra anche come il confine tra ecosistemi legittimi e abuso criminale sia sempre più sottile: una testnet progettata per sviluppo e sperimentazione può diventare un ambiente di produzione per malware, furto credenziali e spionaggio persistente. SectopRAT e ACRStealer ampliano l’impatto della catena di infezione perché trasformano il C2 on-chain in un’infrastruttura capace di sostenere accesso remoto ed esfiltrazione di dati sensibili. Per i difensori, la lezione è netta: la sicurezza deve includere la dimensione blockchain anche quando l’organizzazione non opera direttamente nel settore Web3. Le reti decentralizzate possono essere sfruttate come canale di comando da malware generalisti e campagne di ingegneria sociale rivolte a utenti comuni. ClearFake obbliga quindi a rivedere modelli di rilevamento, threat intelligence e risposta agli incidenti, includendo indicatori on-chain, analisi comportamentale endpoint e formazione degli utenti contro falsi aggiornamenti software. L’infrastruttura malevola del futuro non sarà necessariamente nascosta nel dark web o dietro server anonimi: potrà essere visibile pubblicamente sulla blockchain, ma abbastanza opaca da sfuggire ai controlli tradizionali.