De ransomwaregroep LeakNet gebruikt de ClickFix social engineering techniek via gehackte websites als methode voor initiële toegang. Hierbij worden gebruikers misleid om handmatig kwaadaardige opdrachten uit te voeren om zogenaamd niet-bestaande fouten te verhelpen. Dit wijkt af van traditionele toegangsmethoden zoals het gebruik van gestolen inloggegevens van initial access brokers, aldus een technisch rapport van ReliaQuest.

Daarnaast zet LeakNet een staged command-and-control loader in die draait op de Deno JavaScript runtime, waarmee schadelijke payloads direct in het geheugen worden uitgevoerd. Dit minimaliseert sporen op de harde schijf en bemoeilijkt detectie. Beide toegangspaden leiden volgens ReliaQuest tot een consistente post-exploitatieketen, wat kansen biedt voor detectie en verstoring voordat ransomware wordt ingezet.

LeakNet verscheen voor het eerst in november 2024 en profileert zich als een digitale waakhond gericht op internetvrijheid en transparantie. Volgens gegevens van Dragos richt de groep zich ook op industriële organisaties. Het gebruik van ClickFix vermindert de afhankelijkheid van derden, verlaagt de kosten per slachtoffer en elimineert wachttijden op waardevolle accounts.

De aanvallen maken gebruik van legitieme maar gecompromitteerde websites die nep-CAPTCHA-controles tonen. Gebruikers worden gevraagd een "msiexec.exe" opdracht te kopiëren en plakken in het Windows Uitvoeren-venster. De aanvallen zijn niet sectorgebonden en richten zich op een breed scala aan slachtoffers. Steeds meer dreigingsactoren adopteren deze ClickFix-aanpak, omdat het vertrouwde workflows misbruikt om gebruikers te verleiden kwaadaardige opdrachten uit te voeren via legitieme Windows-tools.

Naast ClickFix gebruikt LeakNet een Deno-gebaseerde loader die Base64-gecodeerde JavaScript direct in het geheugen uitvoert. De payload maakt een systeemfingerprint, communiceert met een externe server om vervolgmalware te downloaden en blijft in een polling-lus nieuwe code ophalen en uitvoeren. ReliaQuest observeerde ook een poging waarbij Microsoft Teams phishing werd ingezet om een gebruiker te misleiden een vergelijkbare Deno-loader te starten. Dit kan duiden op uitbreiding van LeakNet’s toegangsmethoden of adoptie van de techniek door andere groepen.

De post-compromis activiteiten van LeakNet volgen een vaste methode: starten met DLL side-loading om een kwaadaardige DLL te laden, gevolgd door laterale beweging met PsExec, datadiefstal en versleuteling. LeakNet voert ook het commando "cmd.exe /c klist" uit om actieve authenticatiegegevens op het systeem te achterhalen, waarmee de aanvaller inzicht krijgt in beschikbare accounts.