Análisis del Abuso de Sitios WordPress Comprometidos por KongTuke con ClickFix

Summary: La investigación de Trend Micro analizó una campaña activa del grupo KongTuke que utiliza malware modeloRAT, distribuido a través de sitios WordPress comprometidos y tentáculos CAPTCHA falsos, junto con la nueva técnica CrashFix.

Nuestros hallazgos de detección y respuesta gestionada (MDR) confirmaron que el grupo continúa usando este método junto con la reciente técnica CrashFix, que engaña a los usuarios para que instalen una extensión de navegador maliciosa e inicien la infección.

El ataque se basa en gran medida en herramientas del sistema legítimas y servicios confiables para evitar la detección. Al abusar componentes como PowerShell, finger.exe, archivos alojados por Dropbox y entornos Python portátiles, el malware puede ejecutar comandos remotamente, mantenerse persistente y permanecer activo en sistemas comprometidos mientras deja huellas visibles mínimas.

Key facts

El ataque utiliza herramientas legítimas del sistema para evitar la detección.
Los sitios WordPress comprometidos y los tentáculos CAPTCHA falsos son vectores utilizados.
Malware como modeloRAT es capaz de reconocimiento, ejecución de comandos y acceso persistente.

Why it matters

Este análisis es crucial para comprender las tácticas evolutivas de actores amenazantes como KongTuke, que representan un riesgo significativo para las redes empresariales. Subraya la necesidad de medidas de ciberseguridad robustas para protegerse contra estos ataques tan sofisticados.

Structured details

Industry: cybersecurity
Source type: media
Claim status: confirmed
Verification: claimed_by_source
Entities: KongTuke, modeloRAT, CrashFix, ClickFix, PowerShell, finger.exe, Dropbox, Python, grupo de amenazas

Source: https://www.trendmicro.com/en_us/research/26/c/kongtuke-clickfix-abuse-of-compromised-wordpress-sites.html

Published on 3/10/2026, 12:00:00 AM