Se ha encontrado múltiples grupos de piratería patrocinados por el estado de Irán, Corea del Norte y Rusia aprovechando la táctica de ingeniería social de ClickFix cada vez más popular para desplegar malware durante un período de tres meses desde finales de 2024 hasta principios de 2025.
Las campañas de phishing que adoptan la estrategia se han atribuido a los grupos rastreados como TA427 (también conocido como Kimsuky), TA450 (también conocido como Muddywater, Unk_remoterogue y TA422 (también conocido como APT28).
ClickFix ha sido una técnica de acceso inicial principalmente afiliada a los grupos de delitos cibernéticos, aunque la efectividad del enfoque también ha llevado a que los grupos de estado-estado también lo hayan adoptado.
“La incorporación de ClickFix no está revolucionando las campañas llevadas a cabo por TA427, TA450, UNK_REMOTEROGO y TA422, sino que está reemplazando las etapas de instalación y ejecución en las cadenas de infección existentes”, la empresa de seguridad empresarial PruebePoint dicho en un informe publicado hoy.
ClickFix, en pocas palabras, se refiere a una técnica astuta que insta a los usuarios a infectar su propia máquina siguiendo una serie de instrucciones para copiar, pegar y ejecutar comandos maliciosos con el pretexto de solucionar un problema, completar una verificación de CaptCha o registrar su dispositivo.
Proofpoint dijo que detectó por primera vez a Kimsuky usando ClickFix en enero y febrero de 2025 como parte de una campaña de phishing que dirigió a las personas en menos de cinco organizaciones en el sector del grupo de expertos.
“TA427 hizo contacto inicial con el objetivo a través de una solicitud de reunión de un remitente falsificado entregado a los objetivos tradicionales de TA427 que trabajan en asuntos de Corea del Norte”, dijo el equipo de investigación de PROASPPOINT.
“Después de una breve conversación para involucrar al objetivo y generar confianza, como se ve a menudo en la actividad de TA427, los atacantes dirigieron al objetivo a un sitio controlado por los atacantes donde convencieron al objetivo de ejecutar un comando PowerShell”.
La cadena de ataque, explicó la compañía, inició una secuencia de varias etapas que culminó en el despliegue de un troyano de acceso remoto de código abierto llamado Quasar Rat.
El mensaje de correo electrónico pretendía originarse en un diplomático japonés y le pidió al destinatario que organizara una reunión con el embajador japonés en los Estados Unidos. En el transcurso de la conversación, los actores de amenaza enviaron un PDF malicioso que contenía un enlace a otro documento con una lista de preguntas que se discutirán durante la reunión.
Al hacer clic en el enlace, dirigió a la víctima a una página de destino falsa que imitaba el sitio web de la Embajada Japonesa, lo que les llevó a registrar su dispositivo copiando y pegando un comando en el diálogo de Windows ejecutar para descargar el cuestionario.
“El comando ClickFix PowerShell obtiene y ejecuta un segundo comando PowerShell alojado remotamente, que muestra el señuelo PDF referenciado anteriormente en la cadena (cuestionario.pdf) al usuario”, dijo Proofpoint. “El documento afirmaba ser del Ministerio de Asuntos Exteriores en Japón y contenía preguntas sobre la proliferación y política nuclear en el noreste de Asia”.
El segundo script PowerShell está configurado para crear un script Visual Basic que se ejecuta cada 19 minutos por medio de una tarea programada, que, a su vez, descarga dos scripts por lotes que crean, decodifican y ejecutan la carga útil de Quasar Rat. Vale la pena señalar que Microsoft documentó una variación de esta cadena de ataque en febrero de 2025.
El segundo grupo de estado-nación que se enfrentará a ClickFix es el grupo Muddywater ligado a Irán que ha aprovechado la técnica para el software legítimo de monitoreo y gestión remota (RMM) como Nivel para mantener el acceso persistente.
Los correos electrónicos de phishing, enviados el 13 y 14 de noviembre de 2024, coinciden con las actualizaciones del martes de Microsoft Patch, disfrazadas de una actualización de seguridad del gigante tecnológico, pidiendo a los destinatarios de mensajes que sigan las instrucciones al estilo ClickFix para abordar una supuesta vulnerabilidad.
“Los atacantes desplegaron la técnica ClickFix persuadiendo al objetivo para ejecutar primero PowerShell con privilegios de administrador, luego copiar y ejecutar un comando contenido en el cuerpo de correo electrónico”, dijo Proofpoint.
“El comando fue responsable de instalar el software de administración y monitoreo remotos (RMM), en este caso, el nivel, después de lo cual los operadores de TA450 abusarán de la herramienta RMM para realizar datos de espionaje y exfiltrado de la máquina del objetivo”.
Se dice que la campaña TA450 ClickFix se dirige a los sectores de finanzas, gobierno, salud, educación y transporte en todo el Medio Oriente, con énfasis en los Emiratos Árabes Unidos (EAU) y Arabia Saudita, así como en los ubicados en Canadá, Alemania, Suiza y los Estados Unidos.
También observó abordar el Bandwagon de ClickFix es un presunto grupo ruso rastreado como unk_remoterogue hacia fines del año pasado utilizando correos electrónicos de señuelo enviados desde servidores Zimbra probablemente comprometidos que incluían un enlace a un documento de Microsoft Office.
Visitar el enlace mostró una página que contiene instrucciones para copiar código del navegador en su terminal, junto con un tutorial de video de YouTube sobre cómo ejecutar PowerShell. El comando PowerShell estaba equipado con capacidades para ejecutar JavaScript que ejecutó el código PowerShell vinculado al marco Empire Command and Control (C2).
Proofpoint dijo que la campaña envió 10 mensajes a las personas en dos organizaciones asociadas con un importante fabricante de armas en la industria de defensa. También se ha descubierto que unk_remoterogue comparte superposiciones de infraestructura con otra campaña de phishing que se dirigió a las entidades de defensa y aeroespaciales con enlaces al conflicto en curso en Ucrania para cosechar credenciales de correo web a través de páginas de inicio de sesión falsas.
“Múltiples ejemplos de actores patrocinados por el estado que usan ClickFix han demostrado no solo la popularidad de la técnica entre los actores estatales, sino también su uso por parte de varios países con unas semanas de diferencia”, dijo la compañía. “Aunque no es una técnica de uso persistente, es probable que más actores de amenaza de Corea del Norte, Irán y Rusia también hayan probado y probado ClickFix o en el futuro cercano”.
About the Author
