WordPress es uno de los sistemas de gestión de contenidos más populares en Internet. En realidad, más que eso 43 por ciento Todos los sitios web se ejecutan en WordPress. Esto hace que el último ataque a sitios de WordPress por parte de un nuevo actor de amenazas sea aún más alarmante.
Según un Nuevo informe Del Google Threat Intelligence Group (GTIG), un nuevo actor de amenazas con nombre en código UNC5142 está pirateando con éxito sitios de WordPress y utilizando una nueva técnica para difundir malware en la web. UNC5142, según los informes, a menudo encontrará sitios web de WordPress vulnerables que utilizan temas, complementos o bases de datos de WordPress defectuosos.
Notorio grupo de hackers hace nuevas filtraciones a funcionarios de ICE y FBI, según informes
Los sitios de WordPress específicos se infectarán con un descargador de JavaScript claro, corto y de varias etapas que entrega el malware. Luego, el grupo de amenazas implementará una nueva técnica llamada “etherhiding” habilitada por ClearShort.
Velocidad de la luz triturable
Google describe el etherhiding como “una técnica utilizada para ofuscar códigos o datos maliciosos colocándolos en una cadena de bloques pública, como la cadena inteligente BNB”. Este uso de blockchain para difundir código malicioso es único y hace que sea más difícil detener la propagación de malware.
El contrato inteligente que contiene el código blockchain llamará a una página de inicio CLEARSHORT, a menudo alojada en una página de desarrollo de Cloudflare, que utiliza la técnica de ingeniería social ClickFix. Esta técnica engaña a los visitantes del sitio web para que ejecuten comandos maliciosos en su computadora a través del cuadro de diálogo Ejecutar de Windows o la aplicación Terminal en Mac.
Según Google, los ataques del UNC5142 suelen tener motivaciones económicas. GTIG dice que ha estado rastreando UNC5142 desde 2023. Sin embargo, Google informó que UNC5142 detuvo repentinamente toda actividad en julio de 2025.
Esto podría significar que este nuevo grupo de actores de amenazas, que ha estado ejecutando con éxito su campaña de malware, simplemente decidió dejarlo. O podría significar que el actor de la amenaza ha cambiado sus tácticas, ha ocultado con éxito sus últimas acciones y todavía está pirateando sitios web vulnerables en la actualidad.
