Los hackers se han vuelto más ahorrativos: ya no compran credenciales robadas.
El mercado informal enfrenta un giro inesperado en las reglas del juego.
El grupo LeakNet, vinculado a programas de extorsión (ransomware), cambió la táctica de intrusión en sistemas y empezó a utilizar ingeniería social a través de sitios web comprometidos. El nuevo esquema combina el engaño a los usuarios y la ejecución de código malicioso directamente en memoria, lo que dificulta la detección de los ataques y reduce la dependencia de proveedores terceros de acceso.
Los analistas de ReliaQuest señalaron el uso de la técnica ClickFix. Se trata de comprobaciones falsas que imitan un CAPTCHA y que proponen corregir un error inexistente. Al usuario se le muestra una instrucción con el comando msiexec.exe, que debe pegar en la ventana «Ejecutar» de Windows. Al ejecutarse, el comando inicia una cadena de infección. A diferencia de métodos anteriores, en los que los atacantes compraban credenciales robadas, el nuevo enfoque permite escalar los ataques más rápidamente y reduce los costes de acceso a las víctimas.
El segundo elemento clave es un cargador basado en el entorno Deno. El JavaScript malicioso se transmite codificado en Base64 y se ejecuta directamente en la memoria RAM. Este enfoque casi no deja huellas en el disco y dificulta la labor de las soluciones de seguridad. El cargador recopila información del sistema, se conecta con un servidor externo y luego descarga regularmente componentes adicionales.
LeakNet fue detectado por primera vez en noviembre de 2024. El grupo se presentaba como «observador digital», pero la actividad real incluía ataques contra organizaciones industriales, según informó la empresa Dragos. El nuevo esquema de intrusión muestra un cambio en la estrategia y un intento de acelerar las operaciones sin intermediarios.
Una vez obtenido el acceso, las acciones siguen siendo previsibles. Primero ejecutan una biblioteca maliciosa mediante la carga de una DLL, luego se desplazan por la red usando PsExec, recopilan datos y cifran la infraestructura. Para evaluar las cuentas disponibles, los atacantes usan la herramienta integrada klist, que muestra credenciales de autenticación activas. La información robada se sube a almacenes en la nube S3, enmascarando el tráfico como actividad normal.
ReliaQuest también registró un intento separado de intrusión a través de Microsoft Teams, en el que se convenció al usuario para ejecutar una cadena maliciosa con el mismo tipo de cargador. No se ha confirmado la vinculación con LeakNet, pero el enfoque indica la difusión de la técnica entre distintos grupos.
En este contexto, Google informa sobre el aumento de la actividad de los grupos de extorsión. En un tercio de los incidentes, el acceso inicial se logró por explotación de vulnerabilidades, con mayor frecuencia en VPN y cortafuegos. En el 77 % de los ataques se registró el robo de datos. Al mismo tiempo, los ingresos totales de los atacantes disminuyen y muchos grupos pasan de objetivos grandes a ataques masivos contra organizaciones pequeñas.