{"id":273,"date":"2026-03-17T16:19:40","date_gmt":"2026-03-17T16:19:40","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/17\/leaknet-ransomware-utiliza-clickfix-a-traves-de-sitios-pirateados-e-implementa-deno-in-memory-loader-cyberdefensa-mx\/"},"modified":"2026-03-17T16:19:40","modified_gmt":"2026-03-17T16:19:40","slug":"leaknet-ransomware-utiliza-clickfix-a-traves-de-sitios-pirateados-e-implementa-deno-in-memory-loader-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/17\/leaknet-ransomware-utiliza-clickfix-a-traves-de-sitios-pirateados-e-implementa-deno-in-memory-loader-cyberdefensa-mx\/","title":{"rendered":"LeakNet Ransomware utiliza ClickFix a trav\u00e9s de sitios pirateados e implementa Deno In-Memory Loader \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

La operaci\u00f3n ransomware conocida como red de fugas <\/b>ha adoptado la t\u00e1ctica de ingenier\u00eda social ClickFix entregada a trav\u00e9s de sitios web comprometidos como m\u00e9todo de acceso inicial.<\/p>\n

El uso de ClickFix, donde se enga\u00f1a a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, es un alejamiento de la dependencia de m\u00e9todos tradicionales para obtener acceso inicial, como a trav\u00e9s de credenciales robadas adquiridas de agentes de acceso inicial (IAB), ReliaQuest. dicho<\/a> en un informe t\u00e9cnico publicado hoy.<\/p>\n

El segundo aspecto importante de estos ataques es el uso de un cargador de comando y control (C2) por etapas integrado en el tiempo de ejecuci\u00f3n de JavaScript de Deno para ejecutar cargas \u00fatiles maliciosas directamente en la memoria.<\/p>\n

\u00abLa conclusi\u00f3n clave aqu\u00ed es que ambas rutas de entrada conducen siempre a la misma secuencia repetible posterior a la explotaci\u00f3n\u00bb, dijo la empresa de ciberseguridad. \u00abEso les da a los defensores algo concreto con qu\u00e9 trabajar: comportamientos conocidos que pueden detectar e interrumpir en cada etapa, mucho antes de la implementaci\u00f3n del ransomware, independientemente de c\u00f3mo entr\u00f3 LeakNet\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

LeakNet surgi\u00f3 por primera vez en noviembre 2024<\/a>, describiendo<\/a> como un \u00abvigilante digital\u00bb y enmarcando sus actividades como centradas en la libertad y la transparencia en Internet. Seg\u00fan datos captados por dragos<\/a>el grupo tambi\u00e9n tiene dirigido<\/a> entidades industriales.<\/p>\n

El uso de ClickFix para atacar a las v\u00edctimas ofrece varias ventajas, la m\u00e1s importante es que reduce la dependencia de terceros proveedores, reduce el costo de adquisici\u00f3n por v\u00edctima y elimina el cuello de botella operativo de esperar a que cuentas valiosas lleguen al mercado.<\/p>\n

En estos ataques, los sitios leg\u00edtimos pero comprometidos se utilizan para realizar comprobaciones de verificaci\u00f3n CAPTCHA falsas que instruyen a los usuarios a copiar y pegar un comando \u00abmsiexec.exe\u00bb en el cuadro de di\u00e1logo Ejecutar de Windows. Los ataques no se limitan a una industria vertical espec\u00edfica, sino que extienden una amplia red para infectar a tantas v\u00edctimas como sea posible. <\/p>\n

El desarrollo se produce a medida que m\u00e1s actores de amenazas est\u00e1n adoptando el manual ClickFix, ya que abusa de los flujos de trabajo cotidianos y confiables para atraer a los usuarios a ejecutar comandos maliciosos a trav\u00e9s de herramientas leg\u00edtimas de Windows de una manera que parezca rutinaria y segura.<\/p>\n

\u00abLa adopci\u00f3n de ClickFix por parte de LeakNet marca tanto la primera expansi\u00f3n documentada de la capacidad de acceso inicial del grupo como un cambio estrat\u00e9gico significativo\u00bb, dijo ReliaQuest.<\/p>\n

\"\"<\/a><\/div>\n

\u00abAl alejarse de los IAB, LeakNet elimina una dependencia que naturalmente limitaba la rapidez y amplitud con la que pod\u00eda operar. Y debido a que ClickFix se entrega a trav\u00e9s de sitios web leg\u00edtimos, pero comprometidos, no presenta las mismas se\u00f1ales obvias en la capa de red que la infraestructura propiedad del atacante\u00bb.<\/p>\n

Adem\u00e1s del uso de ClickFix para iniciar la cadena de ataque, se eval\u00faa que LeakNet utiliza un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria para minimizar la evidencia en el disco y evadir la detecci\u00f3n. La carga \u00fatil est\u00e1 dise\u00f1ada para tomar huellas dactilares del sistema comprometido, contactar a un servidor externo para buscar malware de la siguiente etapa y entrar en un ciclo de sondeo que busca y ejecuta repetidamente c\u00f3digo adicional a trav\u00e9s de Deno.<\/p>\n

Por otra parte, ReliaQuest dijo que tambi\u00e9n observ\u00f3 un intento de intrusi\u00f3n en el que los actores de amenazas utilizaron phishing basado en Microsoft Teams para dise\u00f1ar socialmente a un usuario para que lanzara una cadena de carga \u00fatil que terminaba en un cargador similar basado en Deno. Si bien la actividad permanece sin atribuir, el uso del enfoque Bring Your Own Runtime (BYOR) indica una ampliaci\u00f3n de los vectores de acceso iniciales de LeakNet o que otros actores de amenazas han adoptado la t\u00e9cnica.<\/p>\n

La actividad posterior al compromiso de LeakNet sigue una metodolog\u00eda consistente: comienza con el uso de carga lateral de DLL para lanzar una DLL maliciosa entregada a trav\u00e9s del cargador, seguido del movimiento lateral usando PsExec, exfiltraci\u00f3n de datos y cifrado.<\/p>\n

\u00abLeakNet ejecuta cmd.exe \/c klist, un comando integrado de Windows que muestra las credenciales de autenticaci\u00f3n activas en el sistema comprometido. Esto le dice al atacante qu\u00e9 cuentas y servicios ya son accesibles sin la necesidad de solicitar nuevas credenciales, para que puedan moverse m\u00e1s r\u00e1pido y m\u00e1s deliberadamente\u00bb, dijo ReliaQuest.<\/p>\n

\u00abPara la puesta en escena y la exfiltraci\u00f3n, LeakNet utiliza dep\u00f3sitos S3, explotando la apariencia del tr\u00e1fico normal en la nube para reducir su huella de detecci\u00f3n\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El desarrollo se produce cuando Google revel\u00f3 que Qilin (tambi\u00e9n conocido como Agenda), Akira (tambi\u00e9n conocido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (tambi\u00e9n conocido como FireFlame y FuryStorm) y Sinobi emergieron como las 10 principales marcas de ransomware con m\u00e1s v\u00edctimas reclamadas en sus sitios de fuga de datos.<\/p>\n

\u00abEn un tercio de los incidentes, el vector de acceso inicial fue la explotaci\u00f3n confirmada o sospechada de vulnerabilidades, con mayor frecuencia en VPN y firewalls comunes\u00bb, dijo Google Threat Intelligence Group (GTIG) dicho<\/a>y agreg\u00f3 que el 77% de las intrusiones de ransomware analizadas incluyeron sospecha de robo de datos, un aumento desde el 57% en 2024.<\/p>\n

\u00abA pesar de la agitaci\u00f3n actual causada por los conflictos y la interrupci\u00f3n de los actores, los actores del ransomware siguen muy motivados y el ecosistema de extorsi\u00f3n demuestra una resiliencia continua. Varios indicadores sugieren que Sin embargo, la rentabilidad general de estas operaciones est\u00e1 disminuyendo,<\/a> y al menos algunos actores de amenazas est\u00e1n alejando su c\u00e1lculo de objetivos de las grandes empresas para centrarse en ataques de mayor volumen contra organizaciones m\u00e1s peque\u00f1as\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

La operaci\u00f3n ransomware conocida como red de fugas ha adoptado la t\u00e1ctica de ingenier\u00eda social ClickFix entregada a trav\u00e9s de sitios web comprometidos como m\u00e9todo de acceso inicial. El uso de ClickFix, donde se enga\u00f1a a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, es un alejamiento de la dependencia de […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[528,24,966,226,967,964,490,965,508,266,76,216],"class_list":["post-273","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-clickfix","tag-cyberdefensa-mx","tag-deno","tag-implementa","tag-inmemory","tag-leaknet","tag-loader","tag-pirateados","tag-ransomware","tag-sitios","tag-traves","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/273","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=273"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/273\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=273"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=273"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=273"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}