Campaña ClickFix distribuye el RAT MIMICRAT en una cadena de ataque de cinco etapas

Investigadores de Elastic Security Labs han descubierto una sofisticada campaña de malware, denominada ClickFix, que utiliza sitios web legítimos comprometidos para distribuir un nuevo troyano de acceso remoto (RAT) personalizado llamado MIMICRAT. La operación, identificada a principios de febrero de 2026, destaca por su alta complejidad operativa, empleando una cadena de infección de cinco etapas que culmina con la ejecución de un implante nativo en C++ diseñado para el sigilo, la persistencia y el movimiento lateral dentro de las redes corporativas.

Esta campaña se encuentra activa y su objetivo parece ser oportunista, afectando a víctimas en múltiples locaciones gracias a su capacidad de localizar el engaño inicial en 17 idiomas, incluyendo español y portugués, lo que aumenta su relevancia para las organizaciones en América Latina.

El vector de entrada de la campaña ClickFix se basa exclusivamente en la ingeniería social, eludiendo por completo las protecciones de descarga de los navegadores. Los atacantes comprometen sitios web de confianza, como el servicio de validación de BIN bincheck[.]io, para inyectar un script malicioso. Este script, a su vez, carga contenido desde un segundo sitio comprometido, una plataforma de inversión india, que presenta a la víctima una falsa página de verificación de Cloudflare.

El señuelo instruye al usuario a copiar un comando de PowerShell en su portapapeles y ejecutarlo manualmente para "solucionar" un supuesto problema. Esta técnica traslada la responsabilidad de la ejecución al usuario, bypassando las defensas perimetrales y de navegador que normalmente detectarían una descarga maliciosa.

Una vez que la víctima ejecuta el comando, se desencadena una secuencia meticulosamente orquestada para evadir la detección. El primer script de PowerShell, altamente ofuscado, contacta con un servidor de Comando y Control (C2) para descargar una segunda carga útil. Este segundo script tiene una misión crítica: deshabilitar dos componentes fundamentales de la seguridad de Windows. Primero, realiza un bypass del Event Tracing for Windows (ETW), un sistema de registro de eventos del kernel, para cegar a las herramientas de monitoreo. Inmediatamente después, neutraliza la Antimalware Scan Interface (AMSI), una interfaz que permite a los productos antivirus inspeccionar el contenido de scripts en memoria. Al anular estas defensas, los siguientes componentes pueden operar con un riesgo de detección muy reducido.

Con las defensas de Windows deshabilitadas, la cadena de ataque procede a ejecutar las etapas finales en memoria, una táctica de malware "fileless" que complica el análisis forense. Se despliega un cargador basado en Lua, un lenguaje de scripting ligero, cuya única función es descifrar y ejecutar un shellcode embebido directamente en la memoria del proceso. Este shellcode es el responsable final de entregar el implante MIMICRAT. El análisis completo de Elastic Security Labs detalla la sofisticación del implante, que incluye perfiles de C2 maleables que imitan tráfico legítimo de analítica web, capacidad para robo de tokens de sesión de Windows, y la creación de túneles SOCKS5 para pivotar dentro de la red comprometida. Su tabla de despacho contiene 22 comandos, lo que le confiere una gran versatilidad para la exfiltración de datos y el espionaje.

La infraestructura detrás de esta campaña utiliza dominios como xMRi.neTwOrk y WexMrI.CC, ambos resolviendo a la dirección IP 45.13.212.250, como centros de comando y control. La anatomía de la campaña MIMICRAT subraya la necesidad de una defensa en profundidad que no dependa únicamente de las firmas de archivos. Para las organizaciones en la región, es crucial reforzar las políticas de ejecución de PowerShell, monitorear activamente la línea de comandos en busca de ofuscación y, fundamentalmente, capacitar a los usuarios para que desconfíen de instrucciones que les soliciten pegar y ejecutar comandos de fuentes no verificadas, incluso si parecen provenir de servicios de confianza. La combinación de compromiso de sitios legítimos y evasión de defensas nativas convierte a MIMICRAT en una amenaza significativa para la seguridad corporativa.