WordPress kullanan 14.000’den fazla site ele geçirildi ve zararlı yazılım yaymak için kullanıldı. İnternetteki web sitelerinin %43’ünden fazlası WordPress çalıştırdığı için saldırı geniş bir etki alanına sahip. Google Threat Intelligence Group (GTIG), 18.10.2025’te yayımlanan bulgularında, UNC5142 kod adlı yeni bir tehdit aktörünün WordPress sitelerini hedef aldığını bildirdi.
GTIG’e göre UNC5142, güvenlik açığı bulunan WordPress temaları, eklentileri veya veritabanlarını kullanan siteleri tespit ediyor ve sızıyor. Grup, ele geçirdiği sitelere CLEARSHORT adlı çok aşamalı bir JavaScript indiricisi yerleştiriyor. Bu bileşen, kullanıcıları zararlı yazılımla enfekte etmek için sonraki aşamaları tetikliyor.
UNC5142 ayrıca CLEARSHORT ile etkinleşen “EtherHiding” adını verdikleri yeni bir tekniği kullanıyor. Google, EtherHiding’i “BNB Smart Chain gibi herkese açık bir blockchain üzerine kötü amaçlı kod veya veriyi yerleştirerek bunları gizlemek için kullanılan bir teknik” olarak tanımlıyor. GTIG, bu yöntemin zararlı kodun engellenmesini zorlaştırdığını belirtiyor.
Blockchain üzerinde barındırılan akıllı sözleşme, CLEARSHORT’un açılış sayfasını çağırıyor. Bu sayfa çoğunlukla Cloudflare’in geliştirme sayfasında barındırılıyor. Ardından saldırganlar, ClickFix adı verilen bir sosyal mühendislik taktiği uyguluyor. Taktiğin amacı, ziyaretçiyi kendi bilgisayarında komut çalıştırmaya ikna etmek. Kullanıcılar Windows’un Run penceresine ya da Mac’in Terminal uygulamasına saldırganın verdiği komutları manuel olarak giriyor.
Google, UNC5142’nin saldırılarını çoğunlukla finansal motivasyonla gerçekleştirdiğini belirtiyor. GTIG, grubun 2023’ten beri aktif olduğunu raporluyor. Google’ın paylaştığı kronolojiye göre UNC5142, Temmuz 2025’te tüm faaliyetlerini aniden durdurdu.
Kaynak, bu duraklamanın iki olası açıklamasını aktarıyor: Grup ya operasyonlarını tamamen bıraktı ya da tespit edilmemek için tekniklerini değiştirerek faaliyetlerini sürdürmeye başladı.
