Con más del 43 por ciento de todos los sitios web funcionando sobre su estructura, WordPress se ha consolidado como uno de los sistemas de gestión de contenido más destacados. Sin embargo, su amplio uso ha suscitado preocupaciones significativas tras recientes informes sobre brechas de seguridad que afectan a plataformas de WordPress, generando inquietud entre webmasters y usuarios.
Un análisis reciente del Grupo de Inteligencia de Amenazas de Google (GTIG) ha revelado las actividades de un nuevo grupo cibernético conocido como UNC5142. Este grupo ha estado explotando vulnerabilidades en sitios de WordPress para distribuir malware, utilizando técnicas innovadoras que dificultan la detección y mitigación de sus ataques.
Cómo opera UNC5142
El modus operandi de UNC5142 se basa en identificar instalaciones de WordPress vulnerables debido a temas, plugins o incluso bases de datos desactualizadas o inseguras. Una vez que localizan un objetivo, los atacantes implementan un sofisticado malware conocido como CLEARSHORT. Este descargador JavaScript de múltiples capas está diseñado para infiltrarse y propagarse por el sitio comprometido.
El papel de EtherHiding
Uno de los aspectos más alarmantes de este ataque es el uso de una técnica denominada EtherHiding. Este método oculta elementos maliciosos al incrustarlos dentro de una blockchain pública, aprovechando específicamente las capacidades de la BNB Smart Chain. Utilizando esta tecnología, los atacantes no solo ocultan su código malicioso, sino que también dificultan considerablemente el trabajo de los profesionales de ciberseguridad para rastrear y eliminar las amenazas.
Cuando una víctima visita un sitio infectado, el mecanismo CLEARSHORT los dirige a una página de aterrizaje, generalmente alojada en una plataforma de desarrolladores de Cloudflare. Aquí, se emplea una táctica de ingeniería social llamada ClickFix para engañar a los usuarios y hacer que ejecuten comandos perjudiciales a través de sus sistemas operativos, ya sea mediante el cuadro de diálogo de Ejecutar en Windows o el Terminal en Mac.
Motivaciones detrás de los ataques
Las motivaciones de UNC5142 parecen ser principalmente financieras, según las observaciones del GTIG. Este grupo ha estado bajo vigilancia desde principios de 2023, pero curiosamente, cesaron sus operaciones en julio de 2025. Esta abrupta interrupción plantea interrogantes sobre sus futuras actividades.
El futuro de UNC5142
Hay dos interpretaciones plausibles sobre su repentina retirada del panorama digital. Es posible que este grupo, tras haber ejecutado efectivamente sus campañas, decidiera retirarse por razones estratégicas. Alternativamente, podrían haber adaptado sus métodos, ocultando sus operaciones para continuar con sus actividades maliciosas sin ser detectados.
Los webmasters y usuarios que dependen de WordPress deben mantenerse alerta ante estas amenazas en evolución. Mantener el software actualizado, emplear medidas de seguridad robustas y mantener una buena higiene cibernética son pasos esenciales para proteger los sitios de WordPress contra tales peligros. El paisaje de las amenazas cibernéticas está en constante cambio, y estar informado es clave para salvaguardar activos valiosos en línea.
