De LeakNet ransomwaregroep maakt gebruik van de ClickFix-techniek voor initiële toegang tot bedrijfsnetwerken en zet een malwareloader in die gebaseerd is op de open-source Deno runtime voor JavaScript en TypeScript. Door de legitieme Deno runtime te gebruiken, decodeert en voert de malware een kwaadaardige payload direct in het systeemgeheugen uit, waardoor sporen op de schijf worden geminimaliseerd en detectie wordt bemoeilijkt.

LeakNet is een relatief nieuwe ransomware-actor die sinds eind 2024 actief is en gemiddeld drie slachtoffers per maand maakt. Met de inzet van deze nieuwe tactieken kan de operatie worden uitgebreid. ClickFix is een social engineering-aanval waarbij gebruikers worden misleid om kwaadaardige commando's uit te voeren via valse prompts. Deze techniek wordt ook door andere ransomwaregroepen zoals Termite en Interlock toegepast. In het geval van LeakNet leidt de ClickFix-lokker tot het inzetten van een Deno-gebaseerde loader die een JavaScript payload in het geheugen uitvoert.

Volgens beveiligingsonderzoeker ReliaQuest wordt deze methode aangeduid als een "bring your own runtime" (BYOR) aanval, omdat Deno een legitieme runtime is voor JavaScript en TypeScript buiten de browseromgeving. Omdat Deno ondertekend en legitiem is, omzeilt het blokkades en filters die onbekende binaries tegenhouden. De aanvallers installeren de legitieme Deno executable en gebruiken deze om kwaadaardige code uit te voeren, vaak gestart via Visual Basic Script (VBS) en PowerShell scripts met namen als Romeo*.ps1 en Juliet*.vbs.

Het gebruik van Deno voor directe uitvoering in het geheugen is cruciaal omdat het weinig forensische sporen achterlaat en lijkt op normaal ontwikkelaarswerk. De uitgevoerde code verzamelt informatie over het slachtoffer, genereert een unieke ID en maakt verbinding met een command-and-control server om een tweede payload te downloaden. Tegelijkertijd blijft het systeem in contact met de C2-server om nieuwe opdrachten te ontvangen.

In de post-exploitatiefase maakt LeakNet gebruik van DLL sideloading, C2 beaconing, het achterhalen van credentials via ‘klist’ enumeratie, laterale beweging met PsExec en het stagen van payloads en exfiltratie van data via misbruik van Amazon S3 buckets. Onderzoekers benadrukken dat de consistente aanvalsketen kansen biedt voor detectie. Signalen van mogelijke LeakNet-activiteit zijn onder meer het draaien van Deno buiten ontwikkelomgevingen, verdachte ‘misexec’ browser-executies, abnormaal gebruik van PsExec, onverwacht uitgaand verkeer naar S3 en DLL sideloading in ongebruikelijke mappen.