Фінансово мотивований зловмисник, кодований як UNC5142, експлуатує смарт-контракти блокчейну на BNB Smart Chain для поширення інфостілерів, включаючи Atomic (AMOS), Lumma, Rhadamanthys (RADTHIEF) та Vidar, націлені на системи Windows та macOS. Група використовує техніку EtherHiding для приховування шкідливого коду на публічних блокчейнах, ін’єктуючи JavaScript у скомпрометовані сайти WordPress через файли плагінів, теми або базу даних. Цей багатоступеневий завантажувач, dubbed CLEARSHORT — варіант ClearFake — починається з ін’єктованого JavaScript, що взаємодіє з шкідливим смарт-контрактом для отримання зашифрованої landing page з зовнішнього сервера, часто на доменах Cloudflare .dev. Landing page застосовує соціальну інженерію ClickFix для обману користувачів у виконанні шкідливих команд, таких як запуск HTA-файлу на Windows через MediaFire, що розгортає PowerShell-скрипт для завантаження та запуску стіллера в пам’яті, або bash-скрипт на macOS для отримання Atomic Stealer через curl. Google Threat Intelligence Group (GTIG) зафіксувала близько 14,000 таких веб-сторінок.