Le groupe ransomware LeakNet ajoute ClickFix via des sites légitimes compromis et un loader Deno en mémoire comme nouvelles méthodes d’accès initial, tout en conservant une chaîne post-exploitation identique.

🔍 Contexte

Publié le 21 mars 2026 par ReliaQuest (auteurs : Joseph Keyes et Daxton Wirth), ce rapport de threat intelligence analyse les évolutions tactiques du groupe ransomware LeakNet, qui intensifie ses opérations en adoptant de nouvelles méthodes d’accès initial.

🎯 Nouvelles méthodes d’accès initial

LeakNet a ajouté deux nouvelles techniques à son arsenal :

  • ClickFix : leurres de type ingénierie sociale délivrés via des sites web légitimes compromis, simulant une fausse page de vérification Cloudflare Turnstile. L’utilisateur est incité à exécuter manuellement une commande msiexec malveillante. Cette approche remplace partiellement le recours aux Initial Access Brokers (IABs), réduisant les coûts et les délais d’acquisition de victimes.
  • Loader Deno en mémoire : un loader basé sur le runtime JavaScript/TypeScript Deno exécute un payload encodé en base64 directement en mémoire via une URL data:, sans écriture sur disque. Initié via des scripts VBS et PowerShell nommés Romeo*.ps1 et Juliet*.vbs, ce loader effectue un fingerprinting de la machine victime (username, hostname, mémoire, OS), établit une connexion C2, et entre dans une boucle de polling pour récupérer des payloads supplémentaires.

🔗 Chaîne post-exploitation constante

Quelle que soit la méthode d’accès initial, LeakNet suit systématiquement la même séquence :

  1. DLL sideloading : jli.dll malveillant chargé via un processus Java légitime depuis C:\ProgramData\USOShared
  2. Beaconing C2 vers des domaines suivant la structure d’URL : hxxps://REDACTED/*/intake/organizations/events?channel=app
  3. Mouvement latéral via PsExec, précédé de cmd.exe /c klist pour identifier les credentials disponibles
  4. Staging et exfiltration via des buckets S3 AWS, exploitant l’apparence de trafic cloud légitime

📊 Indicateurs de volume et contexte

LeakNet cible environ 3 victimes par mois et est en phase de montée en puissance. ClickFix représente en 2025 le vecteur de livraison de 59% des principales familles de malwares suivies. Une tentative d’intrusion distincte via phishing Microsoft Teams a également été observée avec un loader Deno similaire, sans attribution définitive à LeakNet.

📄 Nature de l’article

Il s’agit d’une analyse de menace publiée par ReliaQuest, visant à documenter les TTPs de LeakNet, fournir des IOCs exploitables, et présenter les capacités de détection de la plateforme GreyMatter.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • LeakNet (cybercriminal)

TTP

  • T1189 — Drive-by Compromise (Initial Access)
  • T1204.004 — User Execution: Malicious Copy and Paste (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1218.007 — System Binary Proxy Execution: Msiexec (Defense Evasion)
  • T1574.001 — Hijack Execution Flow: DLL Search Order Hijacking (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102.002 — Web Service: Bidirectional Communication (Command and Control)

IOC

  • IPv4 : 194.31.223.42
  • IPv4 : 144.31.2.161
  • IPv4 : 87.121.79.6
  • IPv4 : 87.121.79.25
  • IPv4 : 144.31.54.243
  • IPv4 : 144.31.224.98
  • Domaines : tools.usersway.net
  • Domaines : apiclofront.com
  • Domaines : sendtokenscf.com
  • Domaines : binclloudapp.com
  • Domaines : neremedysoft.com
  • Domaines : ndibstersoft.com
  • Domaines : windowallclean.com
  • Domaines : cnoocim.com
  • Domaines : delhedghogeggs.com
  • Domaines : serialmenot.com
  • Domaines : crahdhduf.com
  • Domaines : weaplink.com
  • Domaines : okobojirent.com
  • Domaines : mshealthmetrics.com
  • Domaines : verify-safeguard.top
  • URLs : https://fastdlvrss.s3.us-east-1.amazonaws.com
  • URLs : https://backupdailyawss.s3.us-east-1.amazonaws.com
  • Fichiers : jli.dll
  • Fichiers : Romeo*.ps1
  • Fichiers : Juliet*.vbs
  • Chemins : C:\ProgramData\USOShared

Malware / Outils

  • LeakNet Ransomware (ransomware)
  • Deno Loader (loader)
  • PsExec (tool)
  • msiexec (tool)
  • ClickFix (other)

🔗 Source originale : https://reliaquest.com/blog/threat-spotlight-casting-a-wider-net-clickfix-deno-and-leaknets-scaling-threat