# ClickFix lên cấp hệ sinh thái: Làn sóng loader mới (BabaDeda, Lorem Ipsum, Potemkin) và bước hội tụ với EtherHiding

## Tóm tắt

Giữa năm 2026, ba báo cáo độc lập từ Morphisec, BlueVoyant và Huntress cùng chỉ ra một điều: kỹ thuật social engineering ClickFix đã không còn là một mẹo lẻ, mà trở thành cửa ngõ phân phối cho cả một thế hệ loader mới — **BabaDeda Loader**, **Lorem Ipsum Loader** và **Potemkin** — kéo theo stealer, RAT và công cụ tiền-ransomware. Cùng một lure đơn giản ("nhấn Win+R, dán lệnh, Enter") giờ dẫn tới những chuỗi tấn công nhiều tầng được module hóa cao, tách rời khâu giao hàng, lưu trữ payload, thực thi và triển khai.

Đáng chú ý hơn cả là sự hội tụ với **EtherHiding**: EtherRAT, backdoor Node.js được quan sát trong chiến dịch Potemkin, không hardcode địa chỉ C2 mà *đọc nó từ smart contract trên blockchain Ethereum* — khiến việc gỡ bỏ hạ tầng trở nên gần như bất khả thi bằng phương pháp truyền thống.

Một chi tiết quan trọng cho phòng thủ: cú dịch chuyển sang ClickFix một phần là **phản ứng trước thắng lợi của bên phòng thủ**. Sau khi Microsoft hạ dịch vụ ký mã của Fox Tempest, nhóm vận hành Lorem Ipsum mất nguồn chứng chỉ ký số và buộc phải chuyển sang mô hình giao hàng không cần ký mã. Kẻ tấn công thích nghi nhanh hơn tốc độ chúng ta vá.

## ClickFix là gì và vì sao vẫn hiệu quả

ClickFix là kỹ thuật lừa người dùng tự tay chạy lệnh của kẻ tấn công thông qua các tiện ích hệ điều hành đáng tin cậy (User Execution — MITRE ATT&CK **T1204**). Nạn nhân truy cập một trang web, gặp màn hình "xác minh" hoặc CAPTCHA giả, và được hướng dẫn mở hộp thoại Run (Win+R) để dán một lệnh PowerShell rồi nhấn Enter.

Như nhóm nghiên cứu Huntress nhận định, ClickFix hiệu quả vì nó khai thác bản năng con người — người ta có xu hướng làm theo một chỉ dẫn rõ ràng, trông có vẻ chính thống. Social engineering không cần tinh vi; chỉ cần trông giống một bước khắc phục sự cố hợp lệ là đủ.

Kỹ thuật đã lan ra ngoài Windows. ClickFix hiện được dùng để phát tán **Phexia Stealer** (infostealer trên macOS) và bám theo cơn sốt AI để phát tán installer MSI giả mạo công cụ AI. Apple đã phải thêm pop-up cảnh báo trong macOS Tahoe 26.4 khi người dùng dán lệnh vào Terminal từ một nguồn bên ngoài.

## Làn sóng loader mới

### BabaDeda Loader — tái sinh, được xây để ẩn mình

Trong tháng 4/2026, Morphisec ngăn chặn nhiều nỗ lực xâm nhập nhắm vào tổ chức giáo dục và tài chính, và phát hiện một phiên bản tiến hóa rõ rệt của họ loader **BabaDeda**. Liên hệ với hạ tầng BabaDeda cũ (lần đầu được Morphisec ghi nhận tháng 11/2021, gắn với chiến dịch nhắm crypto/Web3 để phát tán stealer, RAT và ransomware LockBit) được xác lập qua *code genome*: loader chứa một task handler khởi chạy workflow tên `BABADEDA` và nhúng hằng số `0xBABADEDA` trong mã.

![BabaDeda Loader](https://www.morphisec.com/wp-content/uploads/2026/06/MRP_BabaDeda-Loader_1_1200x628_v6.0B-1.png align="center")

Bản tái sinh mở rộng theo ba hướng mà đội phòng thủ cần quan tâm:

*   **Modular staging** — khâu giao hàng, lưu trữ, thực thi và triển khai payload bị tách thành các thành phần riêng, mỗi thành phần nhìn riêng lẻ đều "vô hại".
    
*   **External payload storage** — payload thật nằm trong một file trông bình thường như `List.Control.dat`, tách khỏi file thực thi dễ thấy nhất; chỉ được giải mã bằng XOR đúng số byte cần, vài giây trước khi chạy.
    
*   **In-memory execution** — loader kiểu Donut/pe2shc map và chạy mã trực tiếp trong bộ nhớ, không thả file sạch xuống đĩa. Chuỗi bắt đầu khi nạn nhân gặp prompt xác minh/CAPTCHA giả và chạy lệnh PowerShell. Loader kiểm tra vùng miền và **dừng trên hệ thống Nga hoặc Belarus**, kéo payload tiếp theo qua HTTP thuần rồi inject vào tiến trình tin cậy như `svchost.exe`. Một nhánh thả backdoor .NET kiêm stealer (thu cookie, credential, file theo yêu cầu). Một nhánh khác tải gói `linguist.zip` chứa khoảng 30 file ngụy trang phần mềm thật, dùng DLL side-loading để đọc payload từ file lưu trữ ngoài và bàn giao cho DanaBot và SectopRAT (ArechClient).
    

![](https://cdn.hashnode.com/uploads/covers/676511773cdd3c06f7b226ee/7071dde9-0b0a-4ba9-896a-3e919dbebb6e.png align="center")

### Lorem Ipsum Loader — pivot do mất chứng chỉ ký

BlueVoyant theo dõi một chiến dịch dùng ít nhất năm website WordPress bị xâm nhập làm điểm khởi đầu để phát tán loader/backdoor non trẻ tên **Lorem Ipsum Loader** (hoạt động từ tháng 2/2026). Điểm đáng chú ý là cú **pivot**: trước đây nhóm này phát tán qua installer Microsoft Teams bị trojan hóa trên các cổng tải giả, đẩy bằng SEO poisoning và malvertising — nay chuyển sang lure ClickFix.

Nguyên nhân của cú dịch chuyển được quy cho việc Microsoft hạ **Fox Tempest** (Forging Marauder), nhóm bán dịch vụ ký mã (MSaaS) bằng chứng chỉ Microsoft Trusted Signing gian lận. Mất nguồn chứng chỉ, mô hình "installer đã ký" không còn khả thi, buộc nhóm vận hành sang cơ chế giao hàng loại bỏ hoàn toàn việc ký mã.

Chuỗi Lorem Ipsum dùng lure giả "cập nhật bảo mật trình duyệt Edge" để chạy lệnh tải về một file ZIP kèm một bản **Node.js 7.10.1 lỗi thời (2017)** nhằm thực thi payload JavaScript trong khi giảm khả năng bị phát hiện. Payload JS làm dropper, thiết lập persistence qua chuỗi DLL side-loading (`mscoree.dll` hoặc `msvcp140.dll` — T1574.002), giải mã Lorem Ipsum Loader, kéo backdoor giai đoạn sau từ C2 lấy qua các profile mạng xã hội do kẻ tấn công kiểm soát. Hệ sinh thái này được quy với độ tin cậy cao cho **Vanilla Tempest** (còn gọi Rapid Brigantine, Vice Society, Vice Spider) — nhóm có động cơ tài chính, nổi tiếng triển khai ransomware Rhysida, BlackCat, Zeppelin và Quantum Locker.

![](https://cdn.hashnode.com/uploads/covers/676511773cdd3c06f7b226ee/86a1bac5-6f60-4e73-98b6-d88d2b6c2860.png align="center")

### Potemkin + RMMProject + EtherRAT — từ một lệnh dán tới toàn mạng

Tháng 5/2026, Huntress xử lý một ca ClickFix biến thành xâm nhập hands-on-keyboard trải **hơn 11 host**. Nạn nhân chạy lệnh trong hộp thoại Run, lạm dụng `pcalua.exe` làm LOLBIN để proxy `mshta.exe` (T1218.005) tải một payload HTA từ xa; HTA dùng `curl` tải MSI và chạy ngầm bằng `msiexec /qn`.

![Chuỗi tấn công Potemkin/RMMProject/EtherRAT](https://cdn.builder.io/api/v1/image/assets%2F3eb6f92aedf74f109c7b4b0897ec39a8%2Fe4d32349946c467ca2693c3da20f3701 align="center")

**Potemkin** là loader x64 tùy biến, persistence qua Run key, dùng **Domain Generation Algorithm** (T1568.002) để tìm C2: thuật toán XorShift32 với seed cố định (`151678` trong build này) sinh ra 10.000 domain `.xyz` từ từ điển 1.000 từ, dò tuần tự tới khi một domain trả lời `"ok"` tại `/api/client_hello:443`. Vì seed cố định, toàn bộ tập domain có thể *precompute và chặn trước* — một điểm yếu cho bên phòng thủ khai thác. Potemkin định danh host bằng UUID ghi vào `%LOCALAPPDATA%\hyper-v.ver`, rồi reflectively-load module tiếp theo trong bộ nhớ. Toàn bộ "từ vựng lệnh" của nó chỉ là một task code duy nhất `1015` — nó tồn tại để bàn giao **RMMProject**.

**RMMProject** là RAT 4.4 MB nhúng engine LuaJIT với 15 loại task: đánh cắp credential/cookie trên Chrome, Firefox, Edge; module điều khiển màn hình từ xa qua hidden desktop (RTSC); process injection; nạp module động. Đáng chú ý nhất là cách nó **bypass Chrome App-Bound Encryption (ABE)**: nhúng một DLL phụ 4.608 byte (XOR `0x5A`), spawn `chrome.exe`/`msedge.exe` ở chế độ ẩn rồi inject DLL đó vào để thừa hưởng định danh ứng dụng Chrome, gọi COM interface `IElevator` giải mã master key, đọc Cookies/Login Data (SQLite) và giải mã AES-GCM. Firefox được xử lý riêng qua NSS, ASN.1, PBKDF2 + 3DES-CBC.

**EtherRAT** lo phần *kháng takedown*. Đây là backdoor Node.js, giải C2 từ blockchain (xem mục kế). Sau khi có chỗ đứng, kẻ tấn công chuyển sang hands-on-keyboard: tắt Defender bằng nhiều lớp (AMSI patch, registry policy, `Set-MpPreference`, dừng dịch vụ `WinDefend`/`wscsvc`/`SecurityHealthService`), thêm exclusion path `C:\ProgramData\p`, dựng Chisel reverse SOCKS, mở Cloudflare tunnel (`cloudflared` đổi tên thành `svchost.exe`), và lan ngang bằng WMIExec/SMBExec (Impacket) tới domain controller, rải EtherRAT khắp mạng.

## Hội tụ với EtherHiding: C2 neo trên blockchain

EtherHiding là kỹ thuật giấu/giải địa chỉ C2 thông qua smart contract trên blockchain công khai, một dạng dead-drop resolver (T1102). EtherRAT minh họa rõ: thay vì hardcode domain, nó gọi `eth_call` qua bảy nhà cung cấp RPC Ethereum công khai (Tenderly, Flashbots, MEV Blocker, BlastAPI, PublicNode, dRPC, Merkle) tới một contract đã biết, giải ABI-encoded string trả về và kiểm tra xem có phải URL `http(s)`/`ws(s)` không. Trong mẫu Huntress phân tích, contract `0xb3f2897f2bc797e5b9033faef8c81e92b01cb831` trả về C2 sống `resumeacceptable[.]com`.

Sức mạnh nằm ở chỗ: để di chuyển cả botnet, kẻ vận hành chỉ cần gửi **một giao dịch rẻ tiền** cập nhật giá trị lưu trong contract, và mọi host nhiễm sẽ nhận C2 mới ở lần poll kế tiếp. Không có domain hay IP cố định để sinkhole; muốn "gỡ" thì phải đối đầu với chính blockchain.

EtherHiding không phải hiện tượng đơn lẻ. Cùng họ kỹ thuật còn có backdoor **HellsUchecker** (phát tán qua ClickFix + EtherHiding) và botnet **OCRFix** giấu C2 trong các contract trên BNB Smart Chain. EtherRAT trước đó cũng từng xuất hiện trong một chiến dịch được cho là liên quan tới Triều Tiên (khai thác React2Shell), dù ca ClickFix/Potemkin của Huntress hiện chưa quy được tác giả.

## Bảng IOC

> Nguồn: báo cáo Huntress (chiến dịch Potemkin/RMMProject/EtherRAT). Xem báo cáo gốc để có danh sách đầy đủ gồm 10.000 domain DGA.

| Indicator | Mô tả |
| --- | --- |
| `2abe5dd3a057fdef935722e50e9251c272d29fd26113187b853a1f9a9cb89d9b` | SHA256 — Potemkin Loader (`RunSearch.exe`) |
| `3b7ae925e2d64522b4f69b56285b05aeca8c5aab5ab46a9c02c4fafb69d881ce` | SHA256 — RMMProject (`avast_update.bin`) |
| `79f7b67ce8b39070f3e1c2b90fce0ce84134782a7dedcccc1edac197ee9e089b` | SHA256 — `inst24.msi` (thả Potemkin) |
| `2ada24dd6e517f37942b749c2bd57ddd97445e9853002cee70a0bc30d0b0ce3a` | SHA256 — `cons_1.0.1.msi` (giao EtherRAT) |
| `77.110.122[.]58` | C2 / staging chính |
| `213.165.41[.]26` | Máy chủ Chisel reverse SOCKS |
| `cl.distritovagas[.]com` | Domain phục vụ HTA của ClickFix |
| `anus-staylard[.]xyz` | C2 DGA của Potemkin/RMMProject |
| `0xb3f2897f2bc797e5b9033faef8c81e92b01cb831` | Smart contract Ethereum (EtherHiding) |
| `resumeacceptable[.]com` | C2 EtherRAT giải từ blockchain |
| `%LOCALAPPDATA%\hyper-v.ver` | File UUID định danh nạn nhân của Potemkin |

## Nhận định

Điều đáng lo không phải bất kỳ kỹ thuật đơn lẻ nào — phần lớn đều quen thuộc — mà là việc chúng được **module hóa và ráp lại thành một dây chuyền**. Khi delivery, storage, execution và payload tách rời, mỗi mảnh nhìn riêng đều không đủ "độc" để bị chặn, và payload thật chỉ tồn tại ở dạng dùng được trong bộ nhớ, vài giây trước khi chạy. Mô hình "phát hiện theo file và chữ ký" về cơ bản đến muộn.

Hai xu hướng đáng theo dõi. Thứ nhất là **vòng lặp thích nghi**: mỗi lần bên phòng thủ thắng một trận (hạ Fox Tempest, thu hồi chứng chỉ ký), kẻ tấn công lập tức đổi mô hình giao hàng — ở đây là quay về ClickFix, vốn không cần ký mã gì cả. Thứ hai là **blockchain như lớp C2 bền vững**: EtherHiding biến hạ tầng điều khiển thành thứ không thể sinkhole, dịch trọng tâm phòng thủ từ "chặn domain/IP" sang "phát hiện hành vi truy vấn RPC blockchain bất thường từ endpoint". Cả hai đều nói lên một điều: lợi thế đang nghiêng về phía endpoint coverage và phát hiện hành vi, không phải danh sách IOC tĩnh.

## Khuyến nghị

*   Vô hiệu hóa hộp thoại Run (Win+R) qua Group Policy — đây là mitigation trực tiếp nhất, vì ClickFix phụ thuộc vào việc người dùng dán lệnh vào đó.
    
*   Vá các khoảng trống endpoint coverage: mọi workstation/server có kết nối mạng cần có agent EDR; ca Huntress leo từ 1 lên 11 host chính vì điểm khởi đầu không được giám sát.
    
*   Bật tamper protection và alert mạnh trên `Stop-Service WinDefend`, `sc.exe config WinDefend start= disabled`, và các lệnh thêm exclusion path/`Set-MpPreference` hàng loạt.
    
*   Cảnh báo trên `cloudflared` (kể cả bản đổi tên) và binary Chisel; săn các Run key/scheduled task tên ngẫu nhiên và truy vấn `eth_call` tới RPC Ethereum/BNB phát từ endpoint nội bộ.
    

## Tài liệu tham khảo

*   [ClickFix Campaigns Expand Malware Delivery With New Loaders and Fake Update Lures — The Hacker News](https://thehackernews.com/2026/06/clickfix-campaigns-expand-malware.html)
    
*   [What Is the BabaDeda Loader? Analysis of a New ClickFix Malware Campaign — Morphisec](https://www.morphisec.com/blog/what-is-the-babadeda-loader-analysis-of-a-new-clickfix-malware-campaign/)
    
*   [Lorem Ipsum Revisited: ClickFix Pivot & Rapid Brigantine — BlueVoyant](https://www.bluevoyant.com/blog/orem-ipsum-clickfix-rapid-brigantine)
    
*   [Lorem Ipsum Malware: Trojanized MS Teams Installers… — BlueVoyant](https://www.bluevoyant.com/blog/lorem-ipsum-trojanized-microsoft-teams-installers-multi-stage-loader-backdoor)
    
*   [Potemkin Loader & RMMProject: The Anatomy of a ClickFix Attack — Huntress](https://www.huntress.com/blog/potemkin-loader-rmmproject-clickfix-attack)
    
*   [Microsoft Revokes 200 Fraudulent Certificates Used in Rhysida Ransomware Campaign — The Hacker News](https://thehackernews.com/2025/10/microsoft-revokes-200-fraudulent.html)
    
*   [North Korea-linked Actors Exploit React2Shell to Deploy New EtherRAT Malware — The Hacker News](https://thehackernews.com/2025/12/north-korea-linked-actors-exploit.html)
    
*   [HellsUchecker: ClickFix to blockchain-backed backdoor — Derp](https://www.derp.ca/research/hellsuchecker-clickfix-etherhiding/)
    
*   [OCRFix botnet hides C2 in BNB Smart Chain contracts — Derp](https://www.derp.ca/research/ocrfix-etherhiding-botnet/)
    
*   [Malware Insights: MacOS Phexia Campaign — Cookie Engineer](https://cookie.engineer/weblog/articles/malware-insights-macos-phexia-campaign.html)