OneClik fue divulgado por investigadores como una campaña sofisticada que abusa del mecanismo de despliegue ClickOnce de Microsoft para iniciar cargas maliciosas y, posteriormente, utilizar infraestructura cloud legítima para su canal de mando y control. Aunque fue reportado como un ejercicio de red-team que simuló técnicas APT, las tácticas observadas —entrega por vectores legítimos, ejecución en memoria, evasión de telemetría y uso de servicios cloud para C2— son representativas de tendencias que las organizaciones deben priorizar en su detección y gobernanza.
qué hizo OneClik y por qué llama la atención
Los análisis públicos describen una cadena de ataque que combina componentes gestionados por .NET (un loader denominado “OneClikNet”) y un backdoor escrito en Go (referido como “RunnerBeacon”), con variantes que buscan robustecer evasión y camuflaje. El vector inicial reportado fue un enlace conducente a un manifiesto ClickOnce que simulaba una “herramienta de análisis de hardware”, aprovechando el comportamiento legítimo del despliegue ClickOnce para ejecutar la carga. La campaña usó además servicios de AWS (CloudFront, API Gateway, Lambda URLs) para ocultar y legitimar el tráfico de C2.
Importa destacar: aunque se confirmó su origen como ejercicio controlado, las técnicas empleadas son relevantes porque muestran cómo herramientas legítimas y plataformas cloud pueden ser combinadas para reducir la visibilidad de un compromiso real.
| Tactic / fase | Técnica (MITRE) / enfoque | Procedimiento observado en OneClik | Función del procedimiento |
|---|---|---|---|
| Initial Access | T1566.002 Spearphishing Link | analysis.html, *.application (manifest ClickOnce presentado como “Hardware Analysis Tool”) | Engaño para inducir ejecución mediante el mecanismo legítimo de ClickOnce. |
| Execution | T1127.002 Trusted Dev Utilities Proxy | dfsvc.exe ejecuta manifest .application, Hardware_Analysis_Tool.exe | Uso del host legítimo para ejecutar la carga y reducir señales sospechosas. |
| Defense Evasion / Persistence | T1574.014 Hijack Execution Flow | <appDomainManagerAssembly> / <appDomainManagerType> en .exe.config | Carga temprana de código a través del runtime .NET para persistencia / ejecución oculta. |
| Execution | T1059 (genérico) / T1140 Deobfuscate | Derivación y verificación (SHA256(machine+seed), etc.) | Loader modular que adapta payloads por entorno; complica análisis estático. |
| Defense Evasion | T1140 Deobfuscate/Decode | Cadena: swap → Base64 decode → AES-128-CBC con IV derivado | Evita IV hardcodeado; dificulta extracción automatizada de configuración/payload. |
| Execution | T1055 Process Injection | Uso de APIs/CLR reflection para ejecutar shellcode x64 en memoria | Ejecuta payload en memoria reduciendo artefactos en disco. |
| Defense Evasion | T1562.006 Impair Defenses (ETW) | Parches/alteraciones sobre llamadas ETW y ocultamiento de ventana | Reducción de telemetría y señales de trazabilidad forense. |
| Defense Evasion | T1622 Debugger Evasion | Debugger.IsAttached, CheckRemoteDebuggerPresent, NtQueryInformationProcess | Autodiagnóstico para evitar ejecución en entornos de análisis. |
| Discovery / Defense Evasion | T1497 Virtualization / Sandbox, T1082 System Info | Llamadas a NetGetJoinInformation, GlobalMemoryStatusEx, etc. | Evita ejecución en sandboxes/VMs con recursos limitados; prioriza “hosts reales”. |
| Execution | T1055 / T1041 | Decodificación (RC4 / zlib) → arranque de RunnerBeacon (Go) | Monta y ejecuta el backdoor final en memoria. |
| C2 / Collection / Execution | T1071.001 Web, T1102.002 Cloud API | Comunicación con RC4 + MessagePack sobre endpoints cloud | Canal de comando/telemetría camuflado en servicios cloud. |
| Command & Control | T1102.002 Web Service | Tráfico hacia *.cloudfront.net, *.execute-api.amazonaws.com | Aprovecha dominios y tráfico cloud permitidos para dificultar bloqueo. |
| Command & Control | T1102.002 Web Service | Uso de *.lambda-url.*.on.aws en variantes | C2 alojado íntegramente sobre funciones gestionadas en la nube. |
| Defense Evasion | T1070.004 Indicator Removal | Autodelete de .config y limpieza post-ejecución | Reduce rastros en disco que dificultan reconstrucción forense. |
| Execution | T1055 / T1041 (cuando aplica) | Abuso de System.StubHelpers.* e internals CLR | Ejecuta código no gestionado favoreciendo llamadas no estándar. |
Análisis operativo: cómo puede aprovecharse esta técnica un atacante y qué impacto tiene
Abuso de mecanismos legítimos: al utilizar ClickOnce y procesos de despliegue, un actor obtiene la ventaja de la confianza operacional; muchas infraestructuras permiten la ejecución de actualizaciones o aplicaciones firmadas sin suficiencia de inspección. Esto reduce la probabilidad de un bloqueo inmediato por controles tradicionales.
Reducción de artefactos en disco: la ejecución en memoria y la eliminación posterior de configuraciones impiden que los procesos forenses basados en archivos encuentren evidencia sencilla, alargando el tiempo hasta la detección y complicando la contención.
C2 en infraestructura cloud legítima: alojar C2 sobre servicios cloud populares obliga a los equipos defensores a distinguir entre tráfico legítimo y malicioso en dominios compartidos y a evitar bloqueos temerarios que afecten operaciones lícitas. El resultado operativo es una mayor fricción en la respuesta y la necesidad de correlación contextual.
Evasión del análisis automatizado: comprobaciones de sandbox, anti-debug y requerimientos mínimos de hardware hacen que muchas plataformas de análisis automático no reproduzcan el comportamiento real, lo que puede reducir la calidad de la inteligencia generada a partir de muestras.
(Estos aspectos están documentados en los informes públicos sobre OneClik y la cobertura de la industria).
Recomendaciones
Estrategia general: priorizar visibilidad y correlación antes que confiar únicamente en firmas o listas de bloqueo. Las siguientes acciones son prácticas y aplicables a un programa empresarial de seguridad:
1. Visibilidad de procesos de despliegue y actualización
Registrar y alertar sobre comportamiento anómalo en procesos como
dfsvc.exe,msiexec, y otros componentes de despliegue.Correlacionar creación de procesos hijos, módulos cargados y apertura de sockets salientes.
2. Telemetría en memoria y CLR/.NET
Reforzar la telemetría que capture cargas dinámicas en AppDomain, llamadas inusuales a reflection y ejecución de código no gestionado.
Implementar detecciones que no dependan exclusivamente de artefactos en disco.
3. Análisis contextual del tráfico cloud
No bloquear indiscriminadamente servicios cloud; en cambio, analizar patrones (frecuencia, duración, tamaño, jitter) y la relación con el comportamiento del host.
Emplear whitelists ajustadas por función y perfiles de comportamiento por grupo de activos críticos.
4. Robustez forense ante evasión
Mantener logs en ubicaciones remotas y sistemas WORM cuando sea posible para prevenir la eliminación local de evidencias.
Preparar playbooks que contemplen la ausencia de artefactos en disco y la necesidad de análisis forense de memoria.
5. Gobernanza y pruebas controladas
Cualquier ejercicio de validación debe contar con autorización formal, alcance definido, controles de seguridad y coordinación legal.
Priorizar ejercicios que evalúen la detección (tabletops, purple team) sin replicar técnicas operativas que puedan causar daño.
Riesgos, limitaciones y notas sobre atribución
Varios análisis de la industria señalan similitudes con patrones de actores con capacidades APT; sin embargo, la atribución pública es prudente y los informes señalan que OneClik, tal como fue presentado, constituyó en esencia un red-team controlado. Aun así, las técnicas siguen siendo válidas como indicadores de riesgo.
Las defensas dependientes de listas de dominios y firmas sufrirán en este escenario: la mezcla con servicios cloud gestionados reduce la eficacia de medidas reactivas simples.
Conclusión y llamado a la acción
OneClik evidencia una tendencia clara: los adversarios modernos —o ejercicios avanzados de red-team— combinan mecanismos legítimos, ejecución en memoria y servicios cloud gestionados para maximizar su sigilo. Para las organizaciones, la respuesta no es bloquear servicios sino ganar visibilidad y mejorar la correlación entre telemetría endpoint, de red y de aplicación. Recomendamos que su área de seguridad priorice: (1) auditoría y monitoreo de procesos de despliegue, (2) telemetría de memoria y CLR/.NET, y (3) análisis contextual del tráfico cloud.
