Investigadores de ciberseguridad han revelado detalles de una campaña en curso denominada KongTuke que utilizó una extensión maliciosa de Google Chrome haciéndose pasar por un bloqueador de anuncios para bloquear deliberadamente el navegador web y engañar a las víctimas para que ejecutaran comandos arbitrarios usando Hacer clic en arreglar-como señuelos para entregar un troyano de acceso remoto (RAT) previamente no documentado denominado ModeloRAT.
Esta nueva escalada de ClickFix, observada a principios de este mes, lleva el nombre en código CrashFix por Cazadora.
KongTuketambién rastreado como 404 TDS, Chaya_002, LandUpdate808 y TAG-124, es el nombre dado a un sistema de distribución de tráfico (TDS) conocido por perfilar los hosts víctimas antes de redirigirlos a un sitio de entrega de carga útil que infecta sus sistemas. Luego, el acceso a estos hosts comprometidos se transfiere a otros actores de amenazas, incluidos grupos de ransomware, para la posterior entrega de malware.
Algunos de los grupos de ciberdelincuentes que han aprovechado la infraestructura TAG-124 incluyen ransomware Rhysida, ransomware de bloqueoy TA866 (también conocido como Asylum Ambuscade), y el actor de amenazas detrás del TDS malicioso también está asociado con SocGholish y Cargador D3F@cksegún un informe de Recorded Future de abril de 2025.
En la cadena de ataque documentada por la empresa de ciberseguridad, se dice que la víctima buscó un bloqueador de publicidad cuando recibió un anuncio malicioso que la redirigía a una extensión alojada en la tienda web oficial de Chrome.
La extensión del navegador en cuestión, «NexShield – Advanced Web Guardian» (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), se hace pasar por el «escudo de privacidad definitivo» y pretende proteger a los usuarios contra anuncios, rastreadores, malware y contenido intrusivo en páginas web. Fue descargado al menos 5.000 veces. Actualmente ya no está disponible para descargar.
La extensión, según Huntress, es un clon casi idéntico de uBlock Origin Lite versión 2025.1116.1841, un complemento legítimo de bloqueo de anuncios disponible para los principales navegadores web. Está diseñado para mostrar una advertencia de seguridad falsa, afirmando que el navegador se había «detenido de manera anormal» y solicitando a los usuarios que ejecuten un «escaneo» para remediar una posible amenaza de seguridad detectada por Microsoft Edge.
Si el usuario opta por ejecutar el análisis, a la víctima se le presenta una alerta de seguridad falsa que le indica que abra el cuadro de diálogo Ejecutar de Windows, pegue el comando mostrado ya copiado en el portapapeles y lo ejecute. Esto, a su vez, hace que el navegador se congele por completo, lo que lo bloquea al iniciar un ataque de denegación de servicio (DoS) que crea nuevos conexiones de puerto de tiempo de ejecución a través de un bucle infinito que desencadena mil millones de iteraciones del mismo paso repetidamente.
Esta técnica de agotamiento de recursos da como resultado un consumo excesivo de memoria, lo que hace que el navegador web se vuelva lento, no responda y, finalmente, falle.
Una vez instalada, la extensión también está diseñada para transmitir una identificación única a un servidor controlado por un atacante («nexsnield[.]com«), brindando a los operadores la capacidad de rastrear a las víctimas. Además, adopta un mecanismo de ejecución retardada que garantiza que el comportamiento malicioso solo se active 60 minutos después de su instalación. Después de eso, la carga útil se ejecuta cada 10 minutos.
«La ventana emergente sólo aparece al iniciar el navegador después de que éste deja de responder», dijeron los investigadores Anna Pham, Tanner Filip y Dani López. «Antes de que se ejecute DoS, se almacena una marca de tiempo en el almacenamiento local. Cuando el usuario cierra y reinicia su navegador, el controlador de inicio verifica esta marca de tiempo y, si existe, aparece la ventana emergente CrashFix y se elimina la marca de tiempo».
«El DoS solo se ejecuta si el UUID existe (lo que significa que se está rastreando al usuario), el servidor C2 responde exitosamente a una solicitud de recuperación y la ventana emergente se abrió al menos una vez y luego se cerró. Esta última condición puede ser intencional para garantizar la interacción del usuario con la extensión antes de activar la carga útil».
El resultado final es que crea un bucle propio, activando la advertencia falsa cada vez que la víctima fuerza el cierre y reinicia el navegador después de que deja de responder debido al ataque DoS. En caso de que no se elimine la extensión, el ataque se desencadena nuevamente después de 10 minutos.
La ventana emergente también incorpora varias técnicas anti-análisis que desactivan los menús contextuales del botón derecho y evitan intentos de utilizar atajos de teclado para iniciar herramientas de desarrollador. El comando CrashFix emplea la utilidad legítima de Windows, dedo.exepara recuperar y ejecutar la carga útil de la siguiente etapa desde el servidor del atacante («199.217.98[.]108»). El uso del comando Finger por parte de KongTuke fue documentado por el investigador de seguridad Brad Duncan en diciembre de 2025.
La carga útil recibida del servidor es un comando de PowerShell que está configurado para recuperar un script de PowerShell secundario, que, a su vez, toma una página del manual de SocGholish, utilizando múltiples capas de codificación Base64 y operaciones XOR para ocultar el malware de la siguiente etapa.
El blob descifrado analiza los procesos en ejecución en busca de más de 50 herramientas de análisis e indicadores de máquinas virtuales, y detiene inmediatamente la ejecución, si se encuentra. También verifica si la máquina está unida a un dominio o es independiente y envía una solicitud HTTP POST al mismo servidor que contiene dos datos:
- Una lista de productos antivirus instalados.
- Un indicador con el valor «ABCD111» para máquinas independientes de «GRUPO DE TRABAJO» o «BCDA222» para hosts unidos a un dominio
Si el sistema comprometido está marcado como unido a un dominio en la solicitud HTTP, la cadena de ataque KongTuke culmina con la implementación de ModeloRAT, un RAT de Windows basado en Python con todas las funciones que utiliza cifrado RC4 para comunicaciones de comando y control (C2) («170.168.103[.]208» o «158.247.252[.]178»), configura la persistencia mediante el Registro y facilita la ejecución de archivos binarios, DLL, scripts de Python y comandos de PowerShell.
ModeloRAT está equipado para actualizarse o finalizarse al recibir un comando de actualización automática («VERSION_UPDATE») o de salida («TERMINATION_SIGNAL»). También implementa una lógica de balizamiento variada para pasar desapercibido.
«En funcionamiento normal, utiliza un intervalo estándar de 300 segundos (5 minutos)», dijo Huntress. «Cuando el servidor envía un comando de configuración de activación, el implante entra en modo activo con sondeo rápido en un intervalo configurable, por defecto 150 milisegundos».
«Después de seis o más fallas de comunicación consecutivas, el RAT retrocede a un intervalo extendido de 900 segundos (15 minutos) para evitar la detección. Cuando se recupera de una sola falla de comunicación, utiliza un intervalo de reconexión de 150 segundos antes de reanudar las operaciones normales».
Si bien el ataque a máquinas unidas a un dominio con ModeloRAT sugiere que KongTuke está persiguiendo entornos corporativos para facilitar un acceso más profundo, los usuarios en estaciones de trabajo independientes están sujetos a una secuencia de infección separada de múltiples etapas que termina con el servidor C2 respondiendo con el mensaje «TEST PAYLOAD!!!!», indicando que aún podría estar en la fase de prueba.
«La campaña CrashFix de KongTuke demuestra cómo los actores de amenazas continúan evolucionando sus tácticas de ingeniería social», concluyó la empresa de ciberseguridad. «Al hacerse pasar por un proyecto confiable de código abierto (uBlock Origin Lite), bloquear el navegador del usuario a propósito y luego ofrecer una solución falsa, han creado un ciclo de infección autosostenible que se alimenta de la frustración del usuario».
Fuente