Des chercheurs de Proofpoint viennent de révéler que la technique d'ingénierie sociale « ClickFix », initialement développée par des cybercriminels, est désormais adoptée par des groupes étatiques nord-coréens, iraniens et russes dans leurs campagnes d'espionnage.
Qu'on se le dise, la cybersécurité est un domaine où l'innovation n'est jamais à sens unique. Une analyse de Proofpoint publiée jeudi met en lumière un phénomène préoccupant, celui des techniques d'attaque, conçues par des hackers indépendants, récupérées par des acteurs étatiques. Le cas emblématique ? ClickFix, une méthode d'ingénierie sociale sophistiquée qui exploite la confiance des utilisateurs en les incitant à exécuter des commandes malveillantes, est désormais entre les mains de groupes sponsorisés par des États.
Comment fonctionne ClickFix, la technique qui trompe même les plus vigilants
La méthode ClickFix est particulièrement sournoise, puisqu'elle utilise des boîtes de dialogue trompeuses. Elle présente à l'utilisateur un problème fictif, puis propose une solution qui semble venir du système d'exploitation lui-même. L'astuce ? Amener la victime à copier-coller puis exécuter des commandes malveillantes dans son terminal (via PowerShell)
La technique fut utilisée pour la première fois en mars 2024 chez des cybercriminels, mais elle s'est rapidement propagée. Entre octobre 2024 et février 2025, les chercheurs ont observé son adoption par des groupes étatiques de trois pays : la Russie (TA422) dès octobre, l'Iran (TA450) en novembre, puis une autre entité russe (UNK_RemoteRogue) en décembre. Enfin, des collectifs de Corée du Nord (TA427) l'ont adoptée en janvier-février 2025.
Ce qui inquiète surtout les experts, c'est bien la vitesse à laquelle cette technique s'est propagée entre différents acteurs gouvernementaux. Comprenons bien qu'il n'aura fallu que quelques mois pour que des groupes de trois pays distincts intègrent ClickFix dans leurs chaînes d'attaques existantes.
Des États adoptent ClickFix pour moderniser leurs cyberattaques
Chaque groupe adapte d'ailleurs ClickFix à ses besoins spécifiques. TA427 (Corée du Nord) utilise cette technique pour cibler des experts en affaires nord-coréennes, en déployant un logiciel malveillant appelé QuasarRAT. TA450 (Iran) se concentre sur des organisations du Moyen-Orient, particulièrement aux Émirats arabes unis et en Arabie saoudite.
Les acteurs russes ne sont pas en reste. UNK_RemoteRogue cible le secteur de la défense avec des messages en russe, tandis que TA422 (connu aussi sous le nom d'APT28) utilise des liens imitant des feuilles de calcul Google pour installer Metasploit sur les machines des victimes.
Alors bien que ces groupes semblent revenir à leurs méthodes traditionnelles après avoir testé ClickFix, Proofpoint signale que TA427 est récemment revenu à cette technique en ce mois d'avril 2025, avec une chaîne d'infection modifiée. La menace pourrait donc persister et même s'étendre dans les mois à venir, confirmant la fluidité inquiétante des techniques entre cybercriminels et acteurs étatiques.
