Un grupo de ransomware conocido como LeakNet ha estado desarrollando en silencio una estrategia de ataque más peligrosa. Hasta hace poco, el grupo registraba una media de unas tres víctimas al mes, pero nuevas pruebas muestran que está escalando rápidamente, incorporando herramientas nuevas que la mayoría de las defensas de seguridad no están preparadas para detectar.

LeakNet ha introducido dos adiciones notables: un truco de ingeniería social llamado ClickFix y un cargador sigiloso basado en memoria que utiliza el entorno de ejecución JavaScript Deno.

ClickFix no es una técnica completamente nueva en el panorama de amenazas, pero el giro de LeakNet hacia su uso marca un cambio significativo en cómo el grupo encuentra a sus víctimas.

En lugar de comprar credenciales de acceso robadas a brokers de acceso inicial (IABs) en mercados clandestinos, LeakNet ahora coloca páginas de verificación falsas en sitios web comprometidos pero legítimos.

Cuando un usuario desprevenido llega a una de estas páginas, se le muestra lo que parece un control estándar de Cloudflare Turnstile y se le pide que ejecute manualmente un comando.

No hay un perfil de víctima específico aquí: el grupo simplemente lanza una red amplia y confía en que una parte de los usuarios muerda el anzuelo.

Analistas de ReliaQuest identificaron esta actividad en múltiples incidentes recientes, atribuyéndola a LeakNet con alta confianza basándose en infraestructura superpuesta y tácticas, técnicas y procedimientos (TTPs) consistentes.

El cambio respecto a los IABs es deliberado: elimina una dependencia que ralentizaba al grupo y amplía considerablemente el grupo de víctimas potenciales. ClickFix se ha convertido en un método de entrega preferido en el panorama de amenazas, facilitando la distribución del 59% de las principales familias de malware rastreadas en 2025.

Este cambio pone en riesgo a cualquier empleado que navegue por la web. Como los señuelos están alojados en sitios web reales en lugar de dominios propiedad de los atacantes, las defensas estándar a nivel de red generan muchas menos alertas.

La señal de alarma solo aparece después de que el usuario ya ha ejecutado el comando malicioso, lo que pone más énfasis en la monitorización del comportamiento —especialmente en comandos sospechosos de msiexec y conexiones salientes inesperadas— en lugar de depender únicamente del bloqueo basado en dominios.

Lo que hace que la campaña actual de LeakNet sea particularmente preocupante es cómo ambos vectores de entrada —ClickFix y el phishing a través de Microsoft Teams— alimentan la misma cadena de post-explotación cada vez.

El grupo avanza a través de la ejecución, el movimiento lateral y la preparación de la carga útil con las mismas herramientas, independientemente de cómo haya accedido.

Esa consistencia es una señal útil para los defensores: conocer los pasos significa que hay puntos claros donde el ataque puede ser detectado y detenido.

El cargador sigiloso basado en Deno

Una de las partes técnicamente más peligrosas del kit de herramientas actualizado de LeakNet es un cargador no reportado previamente, construido sobre Deno, un entorno de ejecución JavaScript legítimo utilizado diariamente por desarrolladores.

LeakNet emplea un enfoque de trae tu propio entorno de ejecución (BYOR): en lugar de desplegar un binario malicioso personalizado que podría activar herramientas de seguridad, los atacantes instalan el ejecutable real y confiable de Deno en la máquina de la víctima y lo usan para ejecutar código dañino.

El cargador se activa a través de archivos de PowerShell y Visual Basic Script, notablemente llamados Romeo*.ps1 y Juliet*.vbs.

En lugar de escribir un archivo JavaScript en el disco, donde podría ser escaneado, LeakNet alimenta la carga útil a Deno como una URL de datos codificada en base64, que Deno decodifica y ejecuta completamente en memoria.

Ningún archivo estándar toca el endpoint, lo que hace que todo el proceso sea casi invisible para las herramientas de seguridad basadas en firmas.

Una vez que el cargador se ejecuta, recopila detalles básicos del sistema —nombre de usuario, nombre de host, tamaño de memoria y versión del sistema operativo— y luego crea una huella digital única de la víctima.

Se conecta a infraestructura controlada por los atacantes para recuperar una carga útil de segunda etapa específica para la víctima, evita instancias duplicadas vinculándose a un puerto local y luego entra en un ciclo de obtención y ejecución de código adicional en memoria.

Para reducir la exposición, las organizaciones deberían bloquear dominios recién registrados, ya que los servidores de comando y control de LeakNet suelen tener solo unas semanas de antigüedad.

Los usuarios regulares deberían tener restringido ejecutar comandos Win-R en sus estaciones de trabajo, y PsExec debería limitarse a administradores autorizados mediante Objetos de Política de Grupo (GPOs).

Los equipos de seguridad deberían vigilar la carga lateral de jli.dll en el directorio C:\ProgramData\USOShared, actividad inusual de PsExec y conexiones salientes inesperadas a buckets de S3.

Aislar un host comprometido en el momento en que se confirma el comportamiento de post-explotación es la forma más directa de romper la cadena antes de que el ransomware llegue a desplegarse.