Negli ultimi mesi del 2024 e nei primi mesi del 2025, diversi gruppi di hacker sponsorizzati dallo stato provenienti da Iran, Corea del Nord e Russia hanno utilizzato una tattica di ingegneria sociale nota come ClickFix per distribuire malware. Questa tecnica è stata adottata in campagne di phishing condotte da gruppi come TA427 (noto anche come Kimsuky), TA450 (noto come MuddyWater), UNK_RemoteRogue e TA422 (conosciuto anche come APT28).

ClickFix è una tecnica di accesso iniziale che ha guadagnato popolarità tra i gruppi di cybercriminali, ma la sua efficacia ha portato anche i gruppi sponsorizzati dallo stato ad adottarla. Secondo un rapporto pubblicato da Proofpoint, ClickFix è stato utilizzato per sostituire le fasi di installazione ed esecuzione nei tradizionali schemi di infezione.

La tecnica ClickFix inganna gli utenti convincendoli a seguire una serie di istruzioni per copiare, incollare ed eseguire comandi malevoli, con il pretesto di risolvere un problema o completare una verifica CAPTCHA. Proofpoint ha rilevato per la prima volta l'uso di ClickFix da parte di Kimsuky in una campagna di phishing che ha preso di mira individui in meno di cinque organizzazioni nel settore dei think tank.

Durante l'attacco, gli hacker hanno contattato le vittime fingendosi diplomatici giapponesi e chiedendo di organizzare un incontro. Nel corso della conversazione, le vittime sono state indirizzate a una pagina di destinazione contraffatta che imitava il sito dell'ambasciata giapponese, dove venivano istruite a registrare il proprio dispositivo incollando un comando nel dialogo Esegui di Windows.

Un altro gruppo che ha adottato ClickFix è MuddyWater, collegato all'Iran, che ha utilizzato la tecnica per installare software di monitoraggio remoto come Level, mantenendo così l'accesso persistente ai sistemi delle vittime. Le email di phishing inviate da questo gruppo si presentavano come aggiornamenti di sicurezza di una nota azienda tecnologica e incoraggiavano le vittime a eseguire comandi PowerShell con privilegi di amministratore.

UNK_RemoteRogue, un gruppo sospettato di essere collegato alla Russia, ha utilizzato ClickFix verso la fine del 2024, inviando email da server Zimbra compromessi. Le email contenevano link a documenti Microsoft Office che inducevano le vittime a eseguire codici dannosi tramite PowerShell.

Questo crescente utilizzo di ClickFix da parte di attori statali dimostra la popolarità della tecnica e la sua efficacia nel condurre campagne di phishing mirate. Nonostante non sia una tecnica utilizzata in modo persistente, è probabile che altri attori minacciosi di paesi come Corea del Nord, Iran e Russia possano provare e testare ClickFix in futuro.