Hace apenas unos meses que surgió en el panorama del crimen informático un nuevo actor llamado LeakNet, y su evolución técnica ya obliga a prestar atención: ha empezado a combinar una táctica de ingeniería social muy efectiva con un enfoque “living off the land” moderno que aprovecha software legítimo para ejecutar código malicioso en memoria. El resultado es un vector de entrada difícil de detectar y con pocas huellas en disco, exactamente lo que buscan los grupos de ransomware que quieren maximizar impacto y minimizar trazabilidad.
La puerta de entrada que usa LeakNet se conoce como ClickFix, un engaño orientado al usuario que induce a ejecutar comandos o ficheros mediante ventanas o avisos falsos que parecen resolver un problema técnico. Una vez conseguido ese primer paso, los atacantes no lanzan un cargador propio con firma dudosa: instalan y usan el runtime legítimo Deno —el entorno moderno para JavaScript y TypeScript— para decodificar y ejecutar la carga maliciosa directamente en la memoria del sistema. Esa estrategia, descrita por los investigadores de ReliaQuest, es un ejemplo claro de lo que llaman una campaña “bring your own runtime” (BYOR), donde se trae un intérprete legítimo para ejecutar código hostil sin llamar la atención de las listas de bloqueo o los filtros que buscan binarios sospechosos. Más información sobre el análisis técnico está disponible en el informe de ReliaQuest: ReliaQuest: ClickFix, Deno y la amenaza de LeakNet.
¿Por qué usar Deno? Porque es un ejecutable firmado y ampliamente reconocido en entornos de desarrollo, lo que dificulta la detección cuando aparece en una máquina que no está ni mucho menos preparada para identificarlo como malicioso. Al usar Deno, los operadores de LeakNet pueden ejecutar JavaScript/TypeScript malicioso que realiza un fingerprint de la máquina, genera un identificador único de víctima y contacta con un servidor de mando y control para descargar etapas posteriores. El código de memoria mantiene una conexión de sondeo para recibir órdenes, lo que facilita mantenimientos persistentes sin dejar artefactos obvios en el disco.
En la fase posterior a la explotación, LeakNet recurre a técnicas convencionales pero efectivas: carga de DLL mediante sideloading (por ejemplo, aprovechando jli.dll a través de Java en rutas como C:\\ProgramData\\USOShared), reconocimiento de credenciales con herramientas del propio sistema como klist, movimiento lateral mediante PsExec y exfiltración y almacenamiento de datos que abusa de servicios en la nube como Amazon S3. Microsoft mantiene documentación oficial sobre utilidades y comandos usadas en estos procesos; por ejemplo, la herramienta PsExec de Sysinternals se puede consultar en la página de PsExec, la gestión de tickets Kerberos mediante klist está documentada en la referencia de Microsoft, y los principios de búsqueda y carga de DLL se describen en la documentación de Windows. Del lado de la nube, Amazon S3 es frecuentemente usado por atacantes para almacenar y distribuir cargas; la guía oficial de S3 está en la documentación de Amazon S3.
¿Qué hace que esta cadena de ataque sea preocupante? Principalmente dos cosas: la combinación de ingeniería social con ejecución en memoria y el uso de herramientas legítimas. La ejecución en memoria reduce los rastros forenses en disco y hace que muchas soluciones basadas en firmas no disparen alertas. El uso de un runtime oficial como Deno implica que los controles que bloquean binarios “no aprobados” pueden ser burlados. Además, cuando el atacante se apoya en utilidades del sistema para moverse lateralmente o enumerar credenciales, la actividad puede camuflarse entre tareas administrativas legítimas.
Los investigadores que han seguido a LeakNet indican que, por ahora, el grupo ha tenido una actividad relativamente contenida desde finales de 2024, con una media aproximada de unas pocas víctimas por mes, aunque la adopción de estos nuevos métodos podría acelerar su crecimiento. La repetitividad de la cadena de ataque, sin embargo, juega a favor de los defensores: los patrones consistentes dejan puntos concretos donde monitorizar y detectar anomalías.
Señales de alerta que conviene vigilar incluyen la ejecución de Deno en equipos donde no se realizan tareas de desarrollo, invocaciones extrañas que implican navegador y ejecución de comandos (lo que a veces se detecta como misexec o ejecuciones inusuales desde procesos de navegación), uso anómalo de PsExec, tráfico saliente inesperado hacia buckets de S3 y la presencia de DLL cargadas desde ubicaciones atípicas como ProgramData. Estas pistas son pistas aprovechables para la detección temprana y la respuesta.
Desde el punto de vista práctico, las prácticas de mitigación no son novedosas, pero sí deben aplicarse con disciplina: limitar y monitorizar el uso de herramientas administrativas, restringir la ejecución de binarios solo a inventario aprobado, aplicar listas de aplicaciones permitidas donde sea posible y analizar conexiones salientes a servicios en la nube desde estaciones de trabajo. También es clave educar a los empleados para que no ejecuten atajos o comandos presentados por ventanas emergentes sospechosas, porque ClickFix se alimenta precisamente de esa reacción de “arreglar rápido” por parte del usuario.
La comunidad de seguridad publica hoy guías y herramientas para ayudar a detectar y mitigar este tipo de ataques. Revisar indicadores y patrones reportados por investigadores, mantener la telemetría de procesos y red, y configurar alertas sobre comportamientos anómalos (por ejemplo, Deno fuera de entornos de desarrollo o tráfico inusual hacia S3) son pasos concretos que pueden marcar la diferencia. Para quien quiera profundizar en el análisis original de la cadena de ataque, el informe de ReliaQuest ofrece un buen punto de partida: relato técnico de ReliaQuest, y para entender el runtime que los atacantes están usando, la página oficial de Deno explica cómo funciona el entorno: Deno — sitio oficial.
En resumen, LeakNet no ha inventado nada radicalmente nuevo, pero sí ha ensamblado tácticas actuales de forma eficiente: abuso de un runtime legítimo para ejecución en memoria, ingeniería social dirigida y movimientos post-explotación basados en utilidades del propio sistema y servicios en la nube. Esa combinación exige que los equipos de seguridad no se limiten a bloquear firmas, sino que observen comportamientos y contexto, y que las organizaciones mantengan medidas básicas de higiene digital y formación continua para el personal. La amenaza es manejable si se abordan esos puntos con prioridad.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...