Una cadena de intrusión recientemente documentada vincula la técnica de ingeniería social ClickFix con la actividad asociada con Velvet Tempest, un afiliado de ransomware de larga data queMicrosoft previamente mapeadodesde DEV-0504 hasta su actual sistema de nombres basado en el clima. En una operación de engaño de 12 días, MalBeacon dice que observó un ataque de varias etapas que comenzó con publicidad maliciosa y un mensaje CAPTCHA falso, luego avanzó hacia la preparación de DonutLoader, la implementación de CastleRAT, el reconocimiento de Active Directory y el robo de credenciales de Chrome. No se observó ningún cifrado de ransomware durante la ventana capturada, pero los investigadores dicen que la secuencia parecía un comportamiento clásico previo al ransomware.
Esa distinción importa. Los primeros titulares enmarcan el caso como “infracciones de ransomware Termite”, peroEl informe original de MalBeacon dicesólo que el oficio y la infraestructura se alinean con Velvet Tempest y su actual ecosistema de ransomware Termite. Los investigadores no dijeron que la termita realmente detonó en el entorno observado.
Lo que observó MalBeacon
MalBeacon dice que el ataque comenzó cuando una víctima encontró un CAPTCHA falso estilo ClickFixy pegué un comando ofuscado en el cuadro de diálogo Ejecutar de Windows. Esa única acción lanzada anidadacmd.exeejecución, usadofinger.exea través de TCP/79 para probar o extraer contenido de la etapa uno, y descargué un archivo que se hacía pasar por un PDF pero se comportaba como un archivo. Luego, la cadena pasó a la versión nativa.curl.exe,tar.exe, etapas de descarga y ejecución de PowerShell y compilación .NET en el host concsc.exe.
El informe dice que el actor posteriormente montó DonutLoader y estableció un punto de apoyo en CastleRAT bajoC:\ProgramData\AndronFolder.MalBeacon también observó Active Directoryenumeración de usuarios y confianza, descubrimiento de hosts, creación de perfiles de entorno y robo de credenciales de navegador basado en PowerShell vinculado a un script recuperado de143.198.160[.]37.
La operación completa se desarrolló del 3 al 16 de febrero de 2026, dentro de un entorno de réplica sin fines de lucro con sede en EE. UU. con más de 3000 puntos finales y 2500 usuarios. MalBeacon dice que observó tráfico de comando y control de larga duración y un comportamiento de limpieza posterior, incluida la eliminación de CastleRAT, pero nunca vio un evento de cifrado final.
Por qué los investigadores lo vinculan con Velvet Tempest
MalBeacon dice que la técnica observada es "consistente con" la actividad rastreada como Velvet Tempest y su actual ecosistema de ransomware Termite. El informe señala la infraestructura de preparación, el comportamiento práctico del teclado, el acceso a las credenciales y la secuencia general de intrusión como base para esa evaluación. También dice enlaces de inteligencia de fuentes sensibles.143.198.160[.]37para preparar herramientas para intrusiones relacionadas con termitas.
Esa atribución encaja con la historia más amplia del actor. Microsoft dice que DEV-0504 pasó a llamarse Velvet Tempest según su nueva taxonomía de nombres de amenazas. MalBeacon describe a Velvet Tempest como un afiliado de ransomware asociado durante mucho tiempo con operaciones de doble extorsión y múltiples cargas útiles a lo largo del tiempo, aunque señala que su cronograma de ransomware es aproximado.
Cómo funcionó la cadena de ataque
El señuelo se basaba en ClickFix, lo que significa que la víctima ejecutó efectivamente el ataque por sí misma después de seguir las instrucciones en pantalla. MalBeacon dice que el comando de pegado de Run-box desencadenó una cadena que se apoyaba en gran medida en herramientas legítimas de Windows, incluidascmd.exe,PowerShell,curl.exe,tar.exe, ycsc.exe. Ese enfoque de vivir de la tierra puede retrasar la detección porque es posible que los defensores no vean ni un solo malware ejecutable obvio en la etapa inicial.
MalBeacon también dice que CastleRAT utilizó páginas de perfil legítimas de la comunidad Steam como mecanismo de entrega junto con dominios C2 dedicados. Ese detalle se destaca porque muestra a los operadores mezclando tráfico web de apariencia ordinaria con infraestructura de comando dedicada. Más tarde, los investigadores observaron la actividad de volcado de credenciales de Chromium y el reconocimiento de unidades o entornos, que según ellos deberían tratarse como señales de advertencia previas al ransomware incluso sin un evento de cifrado real.
Detalles clave
| Artículo | Detalle verificado |
|---|---|
| actor de amenazas | Actividad evaluada como consistente con el linaje Velvet Tempest/DEV-0504 |
| Ventana de observación | 3 de febrero al 16 de febrero de 2026, aproximadamente 12 días 20 horas |
| Acceso inicial | Publicidad maliciosa más CAPTCHA falso estilo ClickFix que le decía a la víctima que pegara un comando en Windows Run |
| Herramientas clave utilizadas | finger.exe,curl.exe,tar.exe, PowerShell,csc.exe |
| Malware preparado | DonutLoader y CastleRAT |
| Actividad posterior | Reconocimiento de Active Directory, creación de perfiles de host, extracción de credenciales de Chrome |
| Detonación de ransomware | No observado durante la ventana capturada |
Por qué es importante esta campaña
El informe se suma a la creciente lista de actores relacionados con ransomware que utilizan ClickFix como técnica de acceso. MalBeacon dice que este es el primer informe público que vincula estas cadenas de publicidad maliciosa estilo ClickFix específicas con Velvet Tempest. Esto les da a los defensores una imagen más clara de cómo un señuelo de ingeniería social impulsado por el usuario puede convertirse en una intrusión práctica que parece mucho más cercana a una fase de preparación de ransomware real que a una entrega de malware comercial.
También refuerza un patrón observado en otros informes recientes de ClickFix. Los atacantes prefieren cada vez más herramientas de sistema confiables y pasos ejecutados por humanos a exploits o archivos adjuntos ruidosos. En este caso, los investigadores vieron una cadena construida alrededor de utilidades nativas de Windows, recuperación dinámica, compilación local y robo de credenciales en lugar de cifrado inmediato.
A qué deben prestar atención los defensores
Las conclusiones de MalBeacon son concretas. La firma dice que los defensores deberían tratar el lanzamiento de Windows Runcmd.exeo PowerShell desde un comando pegado por el usuario como altamente sospechoso, marcar salientefinger.exeactividad de forma predeterminada, esté atento acurl.exemástar.exeescribir en directorios de usuarios y priorizar las detecciones para PowerShellIEXdescargar patrones y comandos codificados. El informe también pidecsc.exela ejecución desde directorios temporales es un fuerte indicador de la entrega de carga útil de .NET por etapas.
Los investigadores también recomiendan estar atentos a posiblespythonw.exeejecución deProgramData, comandos clásicos de reconocimiento AD comonltest /domain_trustsynet user /domainy tráfico HTTP de larga duración a rutas simples como/loginy/logoff. Sus consejos de refuerzo incluyen filtrado de DNS para dominios de baja reputación, registro de bloques de scripts de PowerShell con visibilidad AMSI, controles LOLBin más estrictos cuando sea posible y protecciones de credenciales de navegador más sólidas.
Preguntas frecuentes
¿Se implementó realmente el ransomware Termite en este caso?
Ningún informe público dice eso. MalBeacon dice que la intrusión se alineó con Velvet Tempest y el ecosistema Termite, pero dice explícitamente que no se observó detonación de ransomware durante la ventana capturada.
¿Qué es ClickFix en esta campaña?
Fue el atractivo inicial. La víctima vio un mensaje falso estilo CAPTCHA y pegó un comando ofuscado en el cuadro de diálogo Ejecutar de Windows, lo que inició la cadena de infección.
¿Qué malware implementaron los atacantes?
MalBeacon dice que observó la puesta en escena de DonutLoader y un punto de apoyo de CastleRAT, junto con herramientas posteriores de robo de credenciales.
¿Por qué esfinger.exenotable aquí?
Porque es una utilidad nativa de Windows que los defensores rara vez esperan que se utilice de esta manera. MalBeacon dice que la cadena utilizadafinger.exesobre TCP/79 en las primeras etapas del proceso de infección y recomienda tratar las infecciones salientes.finger.execomo sospechoso por defecto.