A Velvet Tempest néven nyomon követett zsarolóvírus csoport ClickFix-technikát és legitim Windows segédprogramokat használ a DonutLoader kártevő, valamint a CastleRAT backdoor eszköz telepítésére. A támadók tevékenységét a MalBeacon fenyegetésfelderítési vállalat kutatói figyelték meg egy emulált szervezeti környezetben, összesen 12 napon keresztül.
A Velvet Tempest (más néven DEV-0504) egy olyan kiberbűnözői csoport, amely legalább öt éve aktívan vesz részt zsarolóvírus-támadásokban, jellemzően partneri (affiliate) szerepben különböző ransomware műveletekben. A csoport több, kiemelkedően pusztító zsarolóvírus család terjedésével is kapcsolatba hozható, többek között a Ryuk (2018–2020), a REvil (2019–2022), a Conti (2019–2022), a BlackMatter, a BlackCat/ALPHV (2021–2024), a LockBit, valamint a RansomHub kampányokkal.
A MalBeacon kutatói a kibertámadásokat február 3. és 16. között figyelték meg egy olyan replikált környezetben, amely egy több mint 3000 végponttal és 2500 felhasználóval rendelkező amerikai nonprofit szervezet infrastruktúráját modellezte.
A kezdeti hozzáférés megszerzését követően a Velvet Tempest operátorai aktív, úgynevezett „hands-on-keyboard” műveleteket hajtottak végre. Manuálisan felderítették az Active Directory környezetét, azonosították a hostokat és profilozták a hálózatot. Emellett egy PowerShell-szkriptet is futtattak, amely a Chrome böngészőben tárolt hitelesítési adatok kinyerésére szolgált. A szóban forgó szkript egy olyan IP-címről volt letölthető, amelyet a kutatók a Termite zsarolóvírus-támadásokhoz kapcsolódó eszközelőkészítési infrastruktúrához kötöttek.
A kutatók szerint a Velvet Tempest egy malvertising kampány révén szerzett kezdeti hozzáférést. A kampány egy ClickFix és CAPTCHA elemeket kombináló módszerre épült, amely arra utasította az áldozatokat, hogy illesszenek be egy obfuszkált parancsot a Windows Futtatás (Run) párbeszédablakába.
A beillesztett parancs több egymásba ágyazott cmd-folyamatot indított el, és a finger[.]exe segédprogram segítségével letöltötte az elsődleges malware-betöltőket. Az egyik letöltött komponens egy PDF-fájlnak álcázott archív állomány volt.
A támadás későbbi fázisaiban a támadók PowerShell segítségével további parancsokat töltöttek le és hajtottak végre. Ezek a műveletek további payloadok letöltését szolgálták, valamint .NET komponensek ideiglenes könyvtárakba történő létrehozását a csc[.]exe segítségével. Emellett a C[:]\ProgramData könyvtárba Python-alapú komponenseket is telepítettek a perzisztencia biztosítása érdekében.
A művelet végső szakaszára a támadók már előkészítették a DonutLoader telepítését és letöltötték a CastleRAT hátsó hozzáférési trójait. A CastleRAT kapcsolódik a CastleLoader nevű malware-betöltőhöz, amely arról ismert, hogy különböző RAT-családokat és információlopó kártevőket, például LummaStealer-t terjeszt.
Bár a Velvet Tempest tevékenysége tipikusan double-extortion támadásokhoz köthető, amelyek során a támadók az adatok ellopását követően titkosítják az áldozati rendszereket, a MalBeacon jelentése szerint a megfigyelt incidens során a fenyegetési szereplők végül nem telepítették a Termite zsarolóvírust, amely korábban olyan nagy horderejű áldozatokat is követelt, mint a SaaS szolgáltató Blue Yonder vagy az ausztrál Genea vállalat.
Az utóbbi időben több zsarolóvírus-csoport is átvette a ClickFix-technikát a támadásaikhoz. A Sekoia például 2025 áprilisában számolt be arról, hogy az Interlock zsarolóvírus csoport szintén ezt a social engineering módszert használta vállalati hálózatok kompromittálására.