Tre ricerche indipendenti pubblicate lo stesso giorno — da Morphisec, BlueVoyant e Huntress — documentano come la tecnica ClickFix stia evolvendo da vettore opportunistico a framework di delivery modulare di prima scelta per attori sia criminali che ransomware. I nuovi loader BabaDeda, Lorem Ipsum e Potemkin mostrano un ecosistema in rapida professionalizzazione, dove la separazione dei componenti (delivery, storage, esecuzione, payload) rende il rilevamento progressivamente più difficile.
Cos’è ClickFix e perché funziona ancora
ClickFix è una tecnica di social engineering che convince la vittima a incollare manualmente comandi PowerShell malevoli nella propria macchina, tipicamente presentando un falso errore di sistema, una verifica CAPTCHA contraffatta o un avviso di aggiornamento browser. L’efficacia deriva dall’eludere i meccanismi di difesa che bloccano l’esecuzione automatica di codice: poiché è l’utente a eseguire il comando, molti endpoint security tools non lo intercettano come attività sospetta iniziale. La tecnica è attiva almeno dal 2024 e continua a essere sfruttata perché il fattore umano rimane il vettore più affidabile.
BabaDeda Loader: dal crypto al settore finanziario e dell’istruzione
Morphisec documenta la nuova iterazione del BabaDeda Loader, crypter service già documentato nel 2021 in campagne contro il settore crypto/Web3. Le campagne di aprile 2026 segnano un’espansione verso organizzazioni finanziarie e dell’istruzione, con un’architettura significativamente più sofisticata rispetto ai precedenti installer trojanizzati.
La catena di attacco parte da un lure ClickFix che induce l’esecuzione di un comando PowerShell. Il loader risultante combina diverse tecniche di evasione:
- DLL side-loading in processi Windows fidati come
svchost.exe - Shellcode in-memory: il payload non tocca disco nella forma finale
- Storage Crypter: le componenti malevole sono nascoste in file container dall’aspetto legittimo (es.
List.Control.dat), decodificate solo al momento dell’esecuzione - Profiling dell’host con skip automatico su sistemi con locale russo o bielorusso — indicatore tipico di attori di lingua russa
- Controlli su prodotti di sicurezza installati prima del recupero del payload finale
I payload distribuiti includono un backdoor .NET con capacità di esfiltrazione dati (cookie, credenziali browser, cronologia, chiavi di cifratura DPAPI, contenuto file), oltre a DanaBot e SectopRAT (aka ArechClient) via DLL side-loading in una seconda catena parallela.
Lorem Ipsum Loader e Vanilla Tempest: ClickFix come accesso iniziale per ransomware
BlueVoyant documenta una campagna attiva che utilizza almeno cinque siti WordPress compromessi — nei settori architettura, servizi legali e tecnologia edilizia — come punto di partenza per distribuire il Lorem Ipsum Loader, attivo in the wild dal febbraio 2026. L’elemento più rilevante è l’attribuzione con alta confidenza a Vanilla Tempest (alias Rapid Brigantine, Vice Society, Vice Spider): un attore finanziariamente motivato con un track record documentato nel deployment di ransomware Rhysida, BlackCat, Zeppelin e Quantum Locker.
Il cambio di delivery mechanism rispetto alle campagne precedenti — da installer Microsoft Teams trojanizzati via SEO poisoning a ClickFix su WordPress compromessi — è direttamente riconducibile all’intervento di Microsoft contro Fox Tempest (Forging Marauder): la disruption del servizio MSaaS (Malware-Signing-as-a-Service) che forniva certificati Microsoft Trusted Signing fraudolenti ha reso non viable il modello precedente. In risposta, gli operatori hanno abbandonato il code signing adottando ClickFix, che elimina la dipendenza dalla firma del codice.
La catena tecnica: un lure ClickFix per un falso aggiornamento Edge esegue un comando che scarica un archivio ZIP contenente una versione obsoleta di Node.js (v7.10.1, del 2017) per eseguire payload JavaScript. Lo script JS fa da dropper per un batch script che imposta persistenza tramite una catena di DLL side-loading (mscoree.dll o msvcp140.dll), che a sua volta carica il Lorem Ipsum Loader. Il Loader recupera il Lorem Ipsum Backdoor da profili attaccante su social network. La catena termina con il handoff agli strumenti post-exploitation di Rapid Brigantine e al deployment di Rhysida ransomware.
Potemkin Loader: DGA, EtherRAT e controllo remoto del dominio
Huntress descrive la terza campagna, rilevata il mese scorso, che installa un pacchetto MSI che tramite un payload HTA (HTML Application) rilascia Potemkin, un loader x64 custom precedentemente non documentato. Le caratteristiche distintive:
- Domain Generation Algorithm basato su un dizionario di 1.000 parole integrato per il discovery C2 — rendere difficile il sinkholing
- Identificazione vittima via UUID univoco scritto in
%LOCALAPPDATA%\hyper-v.ver - Cifratura custom per comunicazioni C2 e protezione del dizionario DGA
- Caricamento in-memory (reflective loading) dei moduli follow-on
Potemkin installa EtherRAT e RMMProject, un DLL scriptabile in Lua con moduli per controllo remoto dello schermo e furto credenziali browser tramite bypass di Chromium App-Bound Encryption (ABE). Dopo aver stabilito l’accesso, l’attore non identificato ha condotto attività hands-on-keyboard: configurazione esclusioni Microsoft Defender, deploy di tunnel SOCKS reverse con Chisel, ricognizione, tunnel Cloudflare per accesso persistente, e movimento laterale via WMIExec e SMBExec verso il domain controller, propagando EtherRAT su oltre 11 host.
Il pattern comune: modularità come strategia difensiva per gli attaccanti
Le tre campagne documentano una tendenza strutturale: i moderni loader framework separano delivery, storage, esecuzione e payload deployment in componenti distinti piuttosto che affidarsi a un’entità monolitica. Questa architettura a strati riduce la visibilità forense, complica l’analisi automatizzata e diminuisce le finestre temporali in cui i tool di sicurezza tradizionali possono intercettare l’attività malevola prima dell’esecuzione. La risposta alla disruption di Fox Tempest da parte di Vanilla Tempest — pivot verso ClickFix in pochi giorni — dimostra anche la resilienza operativa di questi ecosistemi: la perdita di un componente della supply chain non blocca l’operazione, la ridiritta.
Due righe per i difensori
Le tre campagne hanno un punto di contatto comune: la vittima esegue manualmente il codice iniziale. I controlli preventivi più efficaci sono: politiche di esecuzione PowerShell restrictive (Constrained Language Mode, logging completo di script block e moduli), blocco dei siti WordPress compromessi via web filtering, detection di child processes sospetti avviati da browser (Edge, Chrome), monitoraggio di DLL side-loading in path inusuali, e alert su Node.js version obsolete eseguite da utenti non amministratori. Per Potemkin specificamente, il file %LOCALAPPDATA%\hyper-v.ver è un IoC host-based rilevabile.
# IoC host-based Potemkin
%LOCALAPPDATA%\hyper-v.ver # file UUID vittima
# Tecniche MITRE ATT&CK rilevanti
T1204.002 - User Execution: Malicious File
T1059.001 - Command and Scripting Interpreter: PowerShell
T1574.002 - Hijack Execution Flow: DLL Side-Loading
T1568.002 - Dynamic Resolution: Domain Generation Algorithms
T1021.006 - Remote Services: WMIExec
T1021.002 - Remote Services: SMB/Windows Admin Shares
T1090.003 - Proxy: Multi-hop Proxy (Chisel SOCKS)
T1562.001 - Impair Defenses: Disable or Modify Tools (Defender exclusions)