Se ha encontrado m\u00faltiples grupos de pirater\u00eda patrocinados por el estado de Ir\u00e1n, Corea del Norte y Rusia aprovechando la t\u00e1ctica de ingenier\u00eda social de ClickFix cada vez m\u00e1s popular para desplegar malware durante un per\u00edodo de tres meses desde finales de 2024 hasta principios de 2025.<\/p>\n
Las campa\u00f1as de phishing que adoptan la estrategia se han atribuido a los grupos rastreados como TA427 (tambi\u00e9n conocido como Kimsuky), TA450 (tambi\u00e9n conocido como Muddywater, Unk_remoterogue y TA422 (tambi\u00e9n conocido como APT28).<\/p>\n
ClickFix ha sido una t\u00e9cnica de acceso inicial principalmente afiliada a los grupos de delitos cibern\u00e9ticos, aunque la efectividad del enfoque tambi\u00e9n ha llevado a que los grupos de estado-estado tambi\u00e9n lo hayan adoptado.<\/p>\n
“La incorporaci\u00f3n de ClickFix no est\u00e1 revolucionando las campa\u00f1as llevadas a cabo por TA427, TA450, UNK_REMOTEROGO y TA422, sino que est\u00e1 reemplazando las etapas de instalaci\u00f3n y ejecuci\u00f3n en las cadenas de infecci\u00f3n existentes”, la empresa de seguridad empresarial PruebePoint dicho<\/a> en un informe publicado hoy.<\/p>\n ClickFix, en pocas palabras, se refiere a una t\u00e9cnica astuta que insta a los usuarios a infectar su propia m\u00e1quina siguiendo una serie de instrucciones para copiar, pegar y ejecutar comandos maliciosos con el pretexto de solucionar un problema, completar una verificaci\u00f3n de CaptCha o registrar su dispositivo.<\/p>\n Proofpoint dijo que detect\u00f3 por primera vez a Kimsuky usando ClickFix en enero y febrero de 2025 como parte de una campa\u00f1a de phishing que dirigi\u00f3 a las personas en menos de cinco organizaciones en el sector del grupo de expertos.<\/p>\n “TA427 hizo contacto inicial con el objetivo a trav\u00e9s de una solicitud de reuni\u00f3n de un remitente falsificado entregado a los objetivos tradicionales de TA427 que trabajan en asuntos de Corea del Norte”, dijo el equipo de investigaci\u00f3n de PROASPPOINT.<\/p>\n “Despu\u00e9s de una breve conversaci\u00f3n para involucrar al objetivo y generar confianza, como se ve a menudo en la actividad de TA427, los atacantes dirigieron al objetivo a un sitio controlado por los atacantes donde convencieron al objetivo de ejecutar un comando PowerShell”.<\/p>\n La cadena de ataque, explic\u00f3 la compa\u00f1\u00eda, inici\u00f3 una secuencia de varias etapas que culmin\u00f3 en el despliegue de un troyano de acceso remoto de c\u00f3digo abierto llamado Quasar Rat.<\/p>\n El mensaje de correo electr\u00f3nico pretend\u00eda originarse en un diplom\u00e1tico japon\u00e9s y le pidi\u00f3 al destinatario que organizara una reuni\u00f3n con el embajador japon\u00e9s en los Estados Unidos. En el transcurso de la conversaci\u00f3n, los actores de amenaza enviaron un PDF malicioso que conten\u00eda un enlace a otro documento con una lista de preguntas que se discutir\u00e1n durante la reuni\u00f3n.<\/p>\n Al hacer clic en el enlace, dirigi\u00f3 a la v\u00edctima a una p\u00e1gina de destino falsa que imitaba el sitio web de la Embajada Japonesa, lo que les llev\u00f3 a registrar su dispositivo copiando y pegando un comando en el di\u00e1logo de Windows ejecutar para descargar el cuestionario.<\/p>\n “El comando ClickFix PowerShell obtiene y ejecuta un segundo comando PowerShell alojado remotamente, que muestra el se\u00f1uelo PDF referenciado anteriormente en la cadena (cuestionario.pdf) al usuario”, dijo Proofpoint. “El documento afirmaba ser del Ministerio de Asuntos Exteriores en Jap\u00f3n y conten\u00eda preguntas sobre la proliferaci\u00f3n y pol\u00edtica nuclear en el noreste de Asia”.<\/p>\n El segundo script PowerShell est\u00e1 configurado para crear un script Visual Basic que se ejecuta cada 19 minutos por medio de una tarea programada, que, a su vez, descarga dos scripts por lotes que crean, decodifican y ejecutan la carga \u00fatil de Quasar Rat. Vale la pena se\u00f1alar que Microsoft document\u00f3 una variaci\u00f3n de esta cadena de ataque en febrero de 2025.<\/p>\n El segundo grupo de estado-naci\u00f3n que se enfrentar\u00e1 a ClickFix es el grupo Muddywater ligado a Ir\u00e1n que ha aprovechado la t\u00e9cnica para el software leg\u00edtimo de monitoreo y gesti\u00f3n remota (RMM) como Nivel<\/a> para mantener el acceso persistente.<\/p>\n Los correos electr\u00f3nicos de phishing, enviados el 13 y 14 de noviembre de 2024, coinciden con las actualizaciones del martes de Microsoft Patch, disfrazadas de una actualizaci\u00f3n de seguridad del gigante tecnol\u00f3gico, pidiendo a los destinatarios de mensajes que sigan las instrucciones al estilo ClickFix para abordar una supuesta vulnerabilidad.<\/p>\n “Los atacantes desplegaron la t\u00e9cnica ClickFix persuadiendo al objetivo para ejecutar primero PowerShell con privilegios de administrador, luego copiar y ejecutar un comando contenido en el cuerpo de correo electr\u00f3nico”, dijo Proofpoint.<\/p>\n “El comando fue responsable de instalar el software de administraci\u00f3n y monitoreo remotos (RMM), en este caso, el nivel, despu\u00e9s de lo cual los operadores de TA450 abusar\u00e1n de la herramienta RMM para realizar datos de espionaje y exfiltrado de la m\u00e1quina del objetivo”.<\/p>\n Se dice que la campa\u00f1a TA450 ClickFix se dirige a los sectores de finanzas, gobierno, salud, educaci\u00f3n y transporte en todo el Medio Oriente, con \u00e9nfasis en los Emiratos \u00c1rabes Unidos (EAU) y Arabia Saudita, as\u00ed como en los ubicados en Canad\u00e1, Alemania, Suiza y los Estados Unidos.<\/p>\n Tambi\u00e9n observ\u00f3 abordar el Bandwagon de ClickFix es un presunto grupo ruso rastreado como unk_remoterogue hacia fines del a\u00f1o pasado utilizando correos electr\u00f3nicos de se\u00f1uelo enviados desde servidores Zimbra probablemente comprometidos que inclu\u00edan un enlace a un documento de Microsoft Office.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-piratas-informaticos-patrocinados-por-el-estado-arean-la-tactica.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n