ClickFix lên cấp hệ sinh thái: Làn sóng loader mới (BabaDeda, Lorem Ipsum, Potemkin) và bước hội tụ với EtherHiding
Tóm tắt
Giữa năm 2026, ba báo cáo độc lập từ Morphisec, BlueVoyant và Huntress cùng chỉ ra một điều: kỹ thuật social engineering ClickFix đã không còn là một mẹo lẻ, mà trở thành cửa ngõ phân phối cho cả một thế hệ loader mới — BabaDeda Loader, Lorem Ipsum Loader và Potemkin — kéo theo stealer, RAT và công cụ tiền-ransomware. Cùng một lure đơn giản ("nhấn Win+R, dán lệnh, Enter") giờ dẫn tới những chuỗi tấn công nhiều tầng được module hóa cao, tách rời khâu giao hàng, lưu trữ payload, thực thi và triển khai.
Đáng chú ý hơn cả là sự hội tụ với EtherHiding: EtherRAT, backdoor Node.js được quan sát trong chiến dịch Potemkin, không hardcode địa chỉ C2 mà đọc nó từ smart contract trên blockchain Ethereum — khiến việc gỡ bỏ hạ tầng trở nên gần như bất khả thi bằng phương pháp truyền thống.
Một chi tiết quan trọng cho phòng thủ: cú dịch chuyển sang ClickFix một phần là phản ứng trước thắng lợi của bên phòng thủ. Sau khi Microsoft hạ dịch vụ ký mã của Fox Tempest, nhóm vận hành Lorem Ipsum mất nguồn chứng chỉ ký số và buộc phải chuyển sang mô hình giao hàng không cần ký mã. Kẻ tấn công thích nghi nhanh hơn tốc độ chúng ta vá.
ClickFix là gì và vì sao vẫn hiệu quả
ClickFix là kỹ thuật lừa người dùng tự tay chạy lệnh của kẻ tấn công thông qua các tiện ích hệ điều hành đáng tin cậy (User Execution — MITRE ATT&CK T1204). Nạn nhân truy cập một trang web, gặp màn hình "xác minh" hoặc CAPTCHA giả, và được hướng dẫn mở hộp thoại Run (Win+R) để dán một lệnh PowerShell rồi nhấn Enter.
Như nhóm nghiên cứu Huntress nhận định, ClickFix hiệu quả vì nó khai thác bản năng con người — người ta có xu hướng làm theo một chỉ dẫn rõ ràng, trông có vẻ chính thống. Social engineering không cần tinh vi; chỉ cần trông giống một bước khắc phục sự cố hợp lệ là đủ.
Kỹ thuật đã lan ra ngoài Windows. ClickFix hiện được dùng để phát tán Phexia Stealer (infostealer trên macOS) và bám theo cơn sốt AI để phát tán installer MSI giả mạo công cụ AI. Apple đã phải thêm pop-up cảnh báo trong macOS Tahoe 26.4 khi người dùng dán lệnh vào Terminal từ một nguồn bên ngoài.
Làn sóng loader mới
BabaDeda Loader — tái sinh, được xây để ẩn mình
Trong tháng 4/2026, Morphisec ngăn chặn nhiều nỗ lực xâm nhập nhắm vào tổ chức giáo dục và tài chính, và phát hiện một phiên bản tiến hóa rõ rệt của họ loader BabaDeda. Liên hệ với hạ tầng BabaDeda cũ (lần đầu được Morphisec ghi nhận tháng 11/2021, gắn với chiến dịch nhắm crypto/Web3 để phát tán stealer, RAT và ransomware LockBit) được xác lập qua code genome: loader chứa một task handler khởi chạy workflow tên BABADEDA và nhúng hằng số 0xBABADEDA trong mã.
Bản tái sinh mở rộng theo ba hướng mà đội phòng thủ cần quan tâm:
Modular staging — khâu giao hàng, lưu trữ, thực thi và triển khai payload bị tách thành các thành phần riêng, mỗi thành phần nhìn riêng lẻ đều "vô hại".
External payload storage — payload thật nằm trong một file trông bình thường như
List.Control.dat, tách khỏi file thực thi dễ thấy nhất; chỉ được giải mã bằng XOR đúng số byte cần, vài giây trước khi chạy.In-memory execution — loader kiểu Donut/pe2shc map và chạy mã trực tiếp trong bộ nhớ, không thả file sạch xuống đĩa. Chuỗi bắt đầu khi nạn nhân gặp prompt xác minh/CAPTCHA giả và chạy lệnh PowerShell. Loader kiểm tra vùng miền và dừng trên hệ thống Nga hoặc Belarus, kéo payload tiếp theo qua HTTP thuần rồi inject vào tiến trình tin cậy như
svchost.exe. Một nhánh thả backdoor .NET kiêm stealer (thu cookie, credential, file theo yêu cầu). Một nhánh khác tải góilinguist.zipchứa khoảng 30 file ngụy trang phần mềm thật, dùng DLL side-loading để đọc payload từ file lưu trữ ngoài và bàn giao cho DanaBot và SectopRAT (ArechClient).
Lorem Ipsum Loader — pivot do mất chứng chỉ ký
BlueVoyant theo dõi một chiến dịch dùng ít nhất năm website WordPress bị xâm nhập làm điểm khởi đầu để phát tán loader/backdoor non trẻ tên Lorem Ipsum Loader (hoạt động từ tháng 2/2026). Điểm đáng chú ý là cú pivot: trước đây nhóm này phát tán qua installer Microsoft Teams bị trojan hóa trên các cổng tải giả, đẩy bằng SEO poisoning và malvertising — nay chuyển sang lure ClickFix.
Nguyên nhân của cú dịch chuyển được quy cho việc Microsoft hạ Fox Tempest (Forging Marauder), nhóm bán dịch vụ ký mã (MSaaS) bằng chứng chỉ Microsoft Trusted Signing gian lận. Mất nguồn chứng chỉ, mô hình "installer đã ký" không còn khả thi, buộc nhóm vận hành sang cơ chế giao hàng loại bỏ hoàn toàn việc ký mã.
Chuỗi Lorem Ipsum dùng lure giả "cập nhật bảo mật trình duyệt Edge" để chạy lệnh tải về một file ZIP kèm một bản Node.js 7.10.1 lỗi thời (2017) nhằm thực thi payload JavaScript trong khi giảm khả năng bị phát hiện. Payload JS làm dropper, thiết lập persistence qua chuỗi DLL side-loading (mscoree.dll hoặc msvcp140.dll — T1574.002), giải mã Lorem Ipsum Loader, kéo backdoor giai đoạn sau từ C2 lấy qua các profile mạng xã hội do kẻ tấn công kiểm soát. Hệ sinh thái này được quy với độ tin cậy cao cho Vanilla Tempest (còn gọi Rapid Brigantine, Vice Society, Vice Spider) — nhóm có động cơ tài chính, nổi tiếng triển khai ransomware Rhysida, BlackCat, Zeppelin và Quantum Locker.
Potemkin + RMMProject + EtherRAT — từ một lệnh dán tới toàn mạng
Tháng 5/2026, Huntress xử lý một ca ClickFix biến thành xâm nhập hands-on-keyboard trải hơn 11 host. Nạn nhân chạy lệnh trong hộp thoại Run, lạm dụng pcalua.exe làm LOLBIN để proxy mshta.exe (T1218.005) tải một payload HTA từ xa; HTA dùng curl tải MSI và chạy ngầm bằng msiexec /qn.
Potemkin là loader x64 tùy biến, persistence qua Run key, dùng Domain Generation Algorithm (T1568.002) để tìm C2: thuật toán XorShift32 với seed cố định (151678 trong build này) sinh ra 10.000 domain .xyz từ từ điển 1.000 từ, dò tuần tự tới khi một domain trả lời "ok" tại /api/client_hello:443. Vì seed cố định, toàn bộ tập domain có thể precompute và chặn trước — một điểm yếu cho bên phòng thủ khai thác. Potemkin định danh host bằng UUID ghi vào %LOCALAPPDATA%\hyper-v.ver, rồi reflectively-load module tiếp theo trong bộ nhớ. Toàn bộ "từ vựng lệnh" của nó chỉ là một task code duy nhất 1015 — nó tồn tại để bàn giao RMMProject.
RMMProject là RAT 4.4 MB nhúng engine LuaJIT với 15 loại task: đánh cắp credential/cookie trên Chrome, Firefox, Edge; module điều khiển màn hình từ xa qua hidden desktop (RTSC); process injection; nạp module động. Đáng chú ý nhất là cách nó bypass Chrome App-Bound Encryption (ABE): nhúng một DLL phụ 4.608 byte (XOR 0x5A), spawn chrome.exe/msedge.exe ở chế độ ẩn rồi inject DLL đó vào để thừa hưởng định danh ứng dụng Chrome, gọi COM interface IElevator giải mã master key, đọc Cookies/Login Data (SQLite) và giải mã AES-GCM. Firefox được xử lý riêng qua NSS, ASN.1, PBKDF2 + 3DES-CBC.
EtherRAT lo phần kháng takedown. Đây là backdoor Node.js, giải C2 từ blockchain (xem mục kế). Sau khi có chỗ đứng, kẻ tấn công chuyển sang hands-on-keyboard: tắt Defender bằng nhiều lớp (AMSI patch, registry policy, Set-MpPreference, dừng dịch vụ WinDefend/wscsvc/SecurityHealthService), thêm exclusion path C:\ProgramData\p, dựng Chisel reverse SOCKS, mở Cloudflare tunnel (cloudflared đổi tên thành svchost.exe), và lan ngang bằng WMIExec/SMBExec (Impacket) tới domain controller, rải EtherRAT khắp mạng.
Hội tụ với EtherHiding: C2 neo trên blockchain
EtherHiding là kỹ thuật giấu/giải địa chỉ C2 thông qua smart contract trên blockchain công khai, một dạng dead-drop resolver (T1102). EtherRAT minh họa rõ: thay vì hardcode domain, nó gọi eth_call qua bảy nhà cung cấp RPC Ethereum công khai (Tenderly, Flashbots, MEV Blocker, BlastAPI, PublicNode, dRPC, Merkle) tới một contract đã biết, giải ABI-encoded string trả về và kiểm tra xem có phải URL http(s)/ws(s) không. Trong mẫu Huntress phân tích, contract 0xb3f2897f2bc797e5b9033faef8c81e92b01cb831 trả về C2 sống resumeacceptable[.]com.
Sức mạnh nằm ở chỗ: để di chuyển cả botnet, kẻ vận hành chỉ cần gửi một giao dịch rẻ tiền cập nhật giá trị lưu trong contract, và mọi host nhiễm sẽ nhận C2 mới ở lần poll kế tiếp. Không có domain hay IP cố định để sinkhole; muốn "gỡ" thì phải đối đầu với chính blockchain.
EtherHiding không phải hiện tượng đơn lẻ. Cùng họ kỹ thuật còn có backdoor HellsUchecker (phát tán qua ClickFix + EtherHiding) và botnet OCRFix giấu C2 trong các contract trên BNB Smart Chain. EtherRAT trước đó cũng từng xuất hiện trong một chiến dịch được cho là liên quan tới Triều Tiên (khai thác React2Shell), dù ca ClickFix/Potemkin của Huntress hiện chưa quy được tác giả.
Bảng IOC
Nguồn: báo cáo Huntress (chiến dịch Potemkin/RMMProject/EtherRAT). Xem báo cáo gốc để có danh sách đầy đủ gồm 10.000 domain DGA.
| Indicator | Mô tả |
|---|---|
2abe5dd3a057fdef935722e50e9251c272d29fd26113187b853a1f9a9cb89d9b |
SHA256 — Potemkin Loader (RunSearch.exe) |
3b7ae925e2d64522b4f69b56285b05aeca8c5aab5ab46a9c02c4fafb69d881ce |
SHA256 — RMMProject (avast_update.bin) |
79f7b67ce8b39070f3e1c2b90fce0ce84134782a7dedcccc1edac197ee9e089b |
SHA256 — inst24.msi (thả Potemkin) |
2ada24dd6e517f37942b749c2bd57ddd97445e9853002cee70a0bc30d0b0ce3a |
SHA256 — cons_1.0.1.msi (giao EtherRAT) |
77.110.122[.]58 |
C2 / staging chính |
213.165.41[.]26 |
Máy chủ Chisel reverse SOCKS |
cl.distritovagas[.]com |
Domain phục vụ HTA của ClickFix |
anus-staylard[.]xyz |
C2 DGA của Potemkin/RMMProject |
0xb3f2897f2bc797e5b9033faef8c81e92b01cb831 |
Smart contract Ethereum (EtherHiding) |
resumeacceptable[.]com |
C2 EtherRAT giải từ blockchain |
%LOCALAPPDATA%\hyper-v.ver |
File UUID định danh nạn nhân của Potemkin |
Nhận định
Điều đáng lo không phải bất kỳ kỹ thuật đơn lẻ nào — phần lớn đều quen thuộc — mà là việc chúng được module hóa và ráp lại thành một dây chuyền. Khi delivery, storage, execution và payload tách rời, mỗi mảnh nhìn riêng đều không đủ "độc" để bị chặn, và payload thật chỉ tồn tại ở dạng dùng được trong bộ nhớ, vài giây trước khi chạy. Mô hình "phát hiện theo file và chữ ký" về cơ bản đến muộn.
Hai xu hướng đáng theo dõi. Thứ nhất là vòng lặp thích nghi: mỗi lần bên phòng thủ thắng một trận (hạ Fox Tempest, thu hồi chứng chỉ ký), kẻ tấn công lập tức đổi mô hình giao hàng — ở đây là quay về ClickFix, vốn không cần ký mã gì cả. Thứ hai là blockchain như lớp C2 bền vững: EtherHiding biến hạ tầng điều khiển thành thứ không thể sinkhole, dịch trọng tâm phòng thủ từ "chặn domain/IP" sang "phát hiện hành vi truy vấn RPC blockchain bất thường từ endpoint". Cả hai đều nói lên một điều: lợi thế đang nghiêng về phía endpoint coverage và phát hiện hành vi, không phải danh sách IOC tĩnh.
Khuyến nghị
Vô hiệu hóa hộp thoại Run (Win+R) qua Group Policy — đây là mitigation trực tiếp nhất, vì ClickFix phụ thuộc vào việc người dùng dán lệnh vào đó.
Vá các khoảng trống endpoint coverage: mọi workstation/server có kết nối mạng cần có agent EDR; ca Huntress leo từ 1 lên 11 host chính vì điểm khởi đầu không được giám sát.
Bật tamper protection và alert mạnh trên
Stop-Service WinDefend,sc.exe config WinDefend start= disabled, và các lệnh thêm exclusion path/Set-MpPreferencehàng loạt.Cảnh báo trên
cloudflared(kể cả bản đổi tên) và binary Chisel; săn các Run key/scheduled task tên ngẫu nhiên và truy vấneth_calltới RPC Ethereum/BNB phát từ endpoint nội bộ.
Tài liệu tham khảo
ClickFix Campaigns Expand Malware Delivery With New Loaders and Fake Update Lures — The Hacker News
What Is the BabaDeda Loader? Analysis of a New ClickFix Malware Campaign — Morphisec
Lorem Ipsum Revisited: ClickFix Pivot & Rapid Brigantine — BlueVoyant
Lorem Ipsum Malware: Trojanized MS Teams Installers… — BlueVoyant
Potemkin Loader & RMMProject: The Anatomy of a ClickFix Attack — Huntress
Microsoft Revokes 200 Fraudulent Certificates Used in Rhysida Ransomware Campaign — The Hacker News
North Korea-linked Actors Exploit React2Shell to Deploy New EtherRAT Malware — The Hacker News
HellsUchecker: ClickFix to blockchain-backed backdoor — Derp
