LeakNet adopta ClickFix y loader Deno en memoria para evadir EDR en ataques de ransomware

El operador de ransomware LeakNet ha adoptado la técnica de ingeniería social ClickFix como nuevo método de acceso inicial, entregándola a través de sitios web legítimos comprometidos, según reveló ReliaQuest en un informe técnico publicado este 17 de marzo. La investigación también documenta un loader basado en el runtime Deno que ejecuta payloads maliciosos directamente en memoria, una táctica diseñada para evadir las soluciones de seguridad tradicionales y minimizar los artefactos forenses que los equipos de respuesta a incidentes podrían analizar. El grupo, activo desde noviembre de 2024, promedia actualmente tres víctimas mensuales pero los investigadores advierten que esta expansión de capacidades señala una clara intención de escalar operaciones.

El componente técnico más significativo de esta nueva campaña es el uso de Deno, un runtime de JavaScript y TypeScript legítimo y firmado, que los atacantes despliegan para ejecutar código malicioso sin ser detectados. ReliaQuest denomina esta táctica "Bring Your Own Runtime" (BYOR), en lugar de desarrollar un loader personalizado que podría ser marcado por los antivirus, los operadores instalan el ejecutable legítimo de Deno y lo utilizan para decodificar y ejecutar un payload codificado en Base64. Una vez activo, el código realiza fingerprinting del sistema comprometido, genera un identificador único de víctima y establece conexión con un servidor de comando y control (C2) para descargar el payload de segunda etapa, mientras mantiene un ciclo de polling persistente para recibir nuevas instrucciones.

La técnica ClickFix representa un cambio estratégico para LeakNet. Hasta ahora, el grupo dependía probablemente de brokers de acceso inicial (IABs) que vendían credenciales robadas en mercados clandestinos.

Al adoptar ClickFix, LeakNet elimina esa dependencia externa, reduce el costo operativo por víctima y acelera el tiempo entre la planificación y la ejecución del ataque. En esta modalidad, los sitios web legítimos pero comprometidos presentan verificaciones CAPTCHA falsas que instruyen a los usuarios a copiar y pegar un comando msiexec.exe en el cuadro de diálogo Ejecutar de Windows. El usuario, creyendo que está resolviendo un problema técnico inexistente, ejecuta manualmente el código malicioso. Esta técnica ya ha sido adoptada por otros grupos de ransomware como Termite e Interlock, lo que sugiere una proliferación efectiva del playbook.

La fase de post-explotación de LeakNet sigue una cadena consistente y repetible que ofrece oportunidades de detección para los defensores. En todos los incidentes confirmados, los investigadores observaron el mismo patrón: DLL side-loading de jli.dll a través de Java en el directorio C:\ProgramData\USOShared, movimiento lateral mediante PsExec, y uso de buckets S3 para staging de payloads y exfiltración de datos.

El grupo también ejecuta el comando klist para enumerar credenciales de autenticación activas en el sistema comprometido, lo que permite identificar qué cuentas y servicios ya son accesibles sin necesidad de solicitar nuevas credenciales. Esta consistencia, paradójicamente, se convierte en una ventaja defensiva: los comportamientos conocidos pueden detectarse en múltiples etapas antes del despliegue del ransomware.

El contexto de amenazas más amplio refuerza la urgencia de estas conclusiones. Según el informe anual de amenazas de ReliaQuest para 2026, los atacantes lograron tiempos de breakout de apenas 4 minutos en 2025, con exfiltración de datos en 6 minutos. El 59% del malware más prevalente utilizó ClickFix como vector de entrega, y el 47% de los incidentes comenzaron con acceso de alto privilegio ya comprometido.

Para las organizaciones en LATAM, donde la adopción de soluciones EDR y SIEM aún es desigual, la recomendación es monitorear específicamente la ejecución de Deno fuera de entornos de desarrollo, el uso anómalo de PsExec, el tráfico saliente hacia buckets S3 no autorizados, y el DLL side-loading en directorios inusuales. Bloquear dominios recién registrados y restringir el acceso al diálogo Ejecutar de Windows (Win-R) también puede reducir la superficie de ataque frente a campañas ClickFix.