Storm-0249 intensifica operaciones de ransomware con ClickFix, PowerShell fileless y DLL sideloading

Storm-0249, un clúster de amenazas con historial en campañas de ransomware, ha elevado significativamente su nivel de sofisticación al incorporar nuevas técnicas de engaño y evasión. Las últimas investigaciones revelan que el grupo está utilizando ClickFix —herramienta fraudulenta disfrazada de soporte técnico— junto con ejecución de PowerShell sin archivos y DLL sideloading para infiltrarse de manera sigilosa en sistemas Windows y desplegar payloads persistentes.

Estas tácticas, combinadas con campañas de phishing que imitan portales de asistencia o herramientas corporativas, están incrementando la tasa de éxito en infecciones iniciales.

Técnicas utilizadas: ingeniería social y evasión a nivel de sistema

Las operaciones recientes de Storm-0249 están basadas en una cadena de ataque que aprovecha componentes nativos de Windows y mecanismos de interacción del usuario:

ClickFix: ingeniería social que ejecuta scripts maliciosos

ClickFix se distribuye simulando ser un "fixador" de errores. Una vez ejecutado, induce al usuario a habilitar funciones o permisos que permiten ejecutar scripts maliciosos sin levantar alertas. Su diseño imita herramientas corporativas de soporte, lo que reduce la sospecha inicial y facilita la escalada de privilegios.

PowerShell sin archivos: ejecución en memoria

El grupo utiliza PowerShell de forma fileless para ejecutar código directamente en memoria, evitando la creación de artefactos en disco y reduciendo la visibilidad ante antivirus tradicionales. Esta técnica permite descargar payloads adicionales, establecer persistencia y ejecutar módulos de cifrado sin dejar rastros evidentes.

DLL Sideloading: abuso de bibliotecas legítimas

Storm-0249 ha sido observado aprovechando bibliotecas como printconfig.dll en aplicaciones legítimas para cargar módulos maliciosos. Este método de sideloading les permite ejecutar malware bajo la apariencia de procesos firmados o de confianza.

Evolución del grupo: de intrusiones simples a doble extorsión

Storm-0249 ha ampliado su espectro de víctimas, afectando principalmente a sectores como salud, manufactura y servicios operativos críticos. Lo que comenzó como intrusiones dirigidas mediante phishing ha evolucionado hacia operaciones completas de ransomware con:

• cifrado de datos,

• robo y exfiltración previa para doble extorsión,

• amenazas de publicación en data leak sites.

Durante 2025 se ha observado un aumento sostenido de víctimas atribuidas a este clúster, en gran parte debido a su uso de técnicas living-off-the-land (LOLBins), que complican tanto la atribución como la respuesta durante incidentes.

Recomendaciones para empresas y equipos de TI

Para mitigar la actividad de Storm-0249, los especialistas recomiendan:

• bloquear el uso indebido de PowerShell mediante AppLocker o GPOs restrictivas,

• utilizar soluciones EDR con capacidad de detección de side-loading y anomalías en memoria,

• reforzar la capacitación contra fraudes de soporte técnico y phishing avanzado,

• implementar respaldos offline y pruebas periódicas de recuperación,

• ejecutar threat hunts proactivos para identificar actividad basada en LOLBins.

La evolución de Storm-0249 confirma un patrón claro: los grupos de ransomware están combinando ingeniería social más convincente con técnicas de evasión cada vez más complejas. Para las organizaciones, la detección temprana y la reducción de superficie de ataque se vuelven esenciales para contener estas campañas antes del cifrado final.