Cybersecurity-onderzoekers hebben details bekendgemaakt van een lopende campagne genaamd KongTuke, waarbij gebruik werd gemaakt van een kwaadaardige Google Chrome-extensie die zich voordeed als advertentieblokkering om opzettelijk de webbrowser te laten crashen en slachtoffers te misleiden om willekeurige opdrachten uit te voeren met behulp van ClickFix-achtige lokmiddelen om een voorheen ongedocumenteerde trojan voor externe toegang (RAT) genaamd ModeloRAT af te leveren.
Deze nieuwe escalatie van ClickFix heeft door Huntress de codenaam CrashFix gekregen.
KongTuke, ook gevolgd als 404 TDS, Chaya_002, LandUpdate808 en TAG-124, is de naam die wordt gegeven aan een verkeersdistributiesysteem (TDS) dat bekend staat om het profileren van hosts van slachtoffers voordat ze worden omgeleid naar een site voor het leveren van payloads die hun systemen infecteert. De toegang tot deze gecompromitteerde hosts wordt vervolgens overgedragen aan andere bedreigingsactoren, waaronder ransomwaregroepen, voor vervolglevering van malware.
Enkele van de cybercriminele groepen die gebruik hebben gemaakt van de TAG-124-infrastructuur zijn Rhysida-ransomware, Interlock-ransomware en TA866 (ook bekend als Asylum Ambuscade), waarbij de bedreigingsactor ook wordt geassocieerd met SocGholish en D3F@ck Loader, volgens een Recorded Future-rapport uit april 2025.
In de door het cyberbeveiligingsbedrijf gedocumenteerde aanvalsketen zou het slachtoffer naar een advertentieblokkering hebben gezocht toen ze een kwaadaardige advertentie te zien kregen die hen doorverwees naar een extensie die werd gehost in de officiële Chrome Web Store.
De browserextensie in kwestie, “NexShield – Advanced Web Guardian” (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), doet zich voor als het “ultieme privacyschild” en beweert gebruikers te beschermen tegen advertenties, trackers, malware en opdringerige inhoud op webpagina’s. Het werd minstens 5.000 keer gedownload. Het is momenteel niet langer beschikbaar om te downloaden.
De extensie is volgens Huntress een vrijwel identieke kloon van uBlock Origin Lite versie 2025.1116.1841, een legitieme adblocker-add-on die beschikbaar is voor alle grote webbrowsers. Het is ontworpen om een valse beveiligingswaarschuwing weer te geven, waarbij wordt beweerd dat de browser “abnormaal is gestopt” en gebruikers wordt gevraagd een “scan” uit te voeren om een potentiële beveiligingsdreiging te verhelpen die door Microsoft Edge is gedetecteerd.
Als de gebruiker ervoor kiest om de scan uit te voeren, krijgt het slachtoffer een nep-beveiligingswaarschuwing te zien die hem instrueert het Windows Run-dialoogvenster te openen en de weergegeven opdracht die al naar het klembord is gekopieerd, te plakken en uit te voeren. Dit zorgt er op zijn beurt voor dat de browser volledig vastloopt en crasht door een Denial-of-Service (DoS)-aanval te lanceren die nieuwe runtime-poortverbindingen creëert via een oneindige lus die herhaaldelijk een miljard iteraties van dezelfde stap activeert.
Deze techniek voor het uitputten van bronnen resulteert in overmatig geheugengebruik, waardoor de webbrowser traag wordt, niet meer reageert en uiteindelijk crasht.
Eenmaal geïnstalleerd, is de extensie ook ontworpen om een unieke ID te verzenden naar een door de aanvaller bestuurde server (“nexsnield(.)com”), waardoor de operators de mogelijkheid hebben om slachtoffers te volgen. Bovendien maakt het gebruik van een vertraagd uitvoeringsmechanisme dat ervoor zorgt dat het kwaadaardige gedrag pas 60 minuten na de installatie wordt geactiveerd. Daarna wordt de payload elke 10 minuten uitgevoerd.
“De pop-up verschijnt alleen bij het opstarten van de browser nadat de browser niet meer reageert”, aldus onderzoekers Anna Pham, Tanner Filip en Dani Lopez. “Voordat de DoS wordt uitgevoerd, wordt een tijdstempel opgeslagen in de lokale opslag. Wanneer de gebruiker de browser geforceerd afsluit en opnieuw opstart, controleert de opstarthandler op deze tijdstempel. Als deze bestaat, verschijnt de CrashFix-pop-up en wordt de tijdstempel verwijderd.”
“De DoS wordt alleen uitgevoerd als de UUID bestaat (wat betekent dat de gebruiker wordt gevolgd), de C2-server succesvol reageert op een ophaalverzoek en het pop-upvenster minstens één keer is geopend en vervolgens is gesloten. Deze laatste voorwaarde kan opzettelijk zijn om gebruikersinteractie met de extensie te garanderen voordat de payload wordt geactiveerd.”
Het eindresultaat is dat het een eigen lus creëert, waarbij de valse waarschuwing wordt geactiveerd telkens wanneer het slachtoffer de browser geforceerd afsluit en opnieuw opstart nadat deze niet meer reageert als gevolg van de DoS-aanval. Als de extensie niet wordt verwijderd, wordt de aanval na 10 minuten opnieuw geactiveerd.
De pop-up bevat ook verschillende anti-analysetechnieken die contextmenu’s met de rechtermuisknop uitschakelen en pogingen voorkomen om sneltoetsen te gebruiken om ontwikkelaarstools te starten. De opdracht CrashFix maakt gebruik van het legitieme Windows-hulpprogramma Finger.exe om de volgende fase van de payload van de server van de aanvaller op te halen en uit te voeren (“199.217.98(.)108”). KongTuke’s gebruik van het Finger-commando werd in december 2025 gedocumenteerd door beveiligingsonderzoeker Brad Duncan.
De payload die van de server wordt ontvangen, is een PowerShell-opdracht die is geconfigureerd om een secundair PowerShell-script op te halen, dat op zijn beurt een pagina uit het speelboek van SocGholish haalt, met behulp van meerdere lagen Base64-codering en XOR-bewerkingen om de volgende fase van malware te verbergen.
De gedecodeerde blob scant lopende processen op meer dan 50 analysetools en indicatoren voor virtuele machines, en stopt onmiddellijk met de uitvoering als deze wordt aangetroffen. Het controleert ook of de machine lid is van een domein of standalone, en stuurt een HTTP POST-verzoek naar dezelfde server met daarin twee stukjes informatie:
- Een lijst met geïnstalleerde antivirusproducten
- Een vlag met de waarde ‘ABCD111’ voor zelfstandige ‘WORKGROUP’-machines of ‘BCDA222’ voor hosts die lid zijn van een domein
In het geval dat het gecompromitteerde systeem wordt gemarkeerd als onderdeel van een domein, culmineert de KongTuke-aanvalsketen met de inzet van ModeloRAT, een volledig uitgeruste, op Python gebaseerde Windows RAT die RC4-codering gebruikt voor command-and-control (C2)-communicatie (“170.168.103(.)208” of “158.247.252(.)178”), persistentie instelt met behulp van Register en faciliteert de uitvoering van binaire bestanden, DLL’s, Python-scripts en PowerShell-opdrachten.
ModeloRAT is uitgerust om zichzelf bij te werken of te beëindigen na ontvangst van een zelfupdate (“VERSION_UPDATE”) of exit (“TERMINATION_SIGNAL”) commando. Het implementeert ook een gevarieerde bakenlogica om onder de radar te vliegen.
“Bij normaal gebruik gebruikt het een standaardinterval van 300 seconden (5 minuten)”, zei Huntress. “Wanneer de server een activeringsconfiguratiecommando verzendt, gaat het implantaat naar de actieve modus met snelle polling met een configureerbaar interval, standaard ingesteld op 150 milliseconden.”
“Na zes of meer opeenvolgende communicatiefouten gaat de RAT terug naar een verlengd interval van 900 seconden (15 minuten) om detectie te voorkomen. Bij herstel van een enkele communicatiefout gebruikt het een herverbindingsinterval van 150 seconden voordat het de normale werking hervat.”
Hoewel het targeten van machines die met een domein zijn verbonden met ModeloRAT suggereert dat KongTuke achter bedrijfsomgevingen aan gaat om diepere toegang mogelijk te maken, worden gebruikers op standalone werkstations onderworpen aan een aparte meerfasige infectiereeks die eindigt met de C2-server die reageert met het bericht “TEST PAYLOAD!!!!”, wat aangeeft dat de server zich mogelijk nog in de testfase bevindt.
“De CrashFix-campagne van KongTuke laat zien hoe bedreigingsactoren hun social engineering-tactieken blijven ontwikkelen”, concludeerde het cyberbeveiligingsbedrijf. “Door zich voor te doen als een vertrouwd open-sourceproject (uBlock Origin Lite), de browser van de gebruiker expres te laten crashen en vervolgens een nepoplossing aan te bieden, hebben ze een zichzelf in stand houdende infectielus opgebouwd die op gebruikersfrustratie aast.”
