🎣 ClickFix : Quand les hackers d’État vous font exécuter la menace vous-même

📰 Contexte de publication

L’article original, intitulé “State-sponsored hackers embrace ClickFix social engineering tactic”, a été publié le 20 avril 2025 sur le site spécialisé en cybersécurité BleepingComputer, par le journaliste Bill Toulas.
Ce billet s’inscrit dans la veille constante sur les tactiques d’ingénierie sociale utilisées par des groupes APT (Advanced Persistent Threats) soutenus par des États. Il met en lumière une technique redoutablement efficace : ClickFix, une méthode qui exploite la psychologie des utilisateurs pour les amener à s’auto-infecter volontairement.

🕵️‍♂️ Qu’est-ce que “ClickFix” ?

ClickFix est une méthode d’ingénierie sociale utilisée par des groupes de cybermenaces liés à la Corée du Nord, l’Iran et la Russie.
Elle consiste à imiter un site ou service légitime, afficher un faux message d’erreur (ex : “Échec de téléchargement”), et inciter la cible à cliquer sur un bouton “Fix” qui déclenche une commande malveillante sur l’ordinateur de la victime.

💡 Schéma d’une attaque ClickFix :

  1. Victime redirigée via phishing ou pub vers un faux site.
  2. Message d’erreur simulé pour créer un sentiment d’urgence.
  3. Bouton “Fix” qui fournit une commande à exécuter manuellement (PowerShell, terminal).
  4. L’utilisateur exécute la commande → infection immédiate.

🛰️ Groupes APT impliqués

🇰🇵 Kimsuky (Corée du Nord)

  • Période : Janvier – Février 2025
  • Cibles : Think tanks spécialisés sur la Corée du Nord.
  • Technique : Faux mails de diplomates japonais → PDF piégé → site de “registration”.
  • Résultat : Infection avec QuasarRAT + persistance via tâches planifiées.

🇮🇷 MuddyWater (Iran)

  • Période : Novembre 2024
  • Cibles : 39 organisations au Moyen-Orient.
  • Méthode : Faux mails Microsoft alertant d’une mise à jour critique.
  • Payload : Commande PowerShell → installation de Level (RMM).

🇷🇺 UNK_RemoteRogue (Russie)

  • Période : Décembre 2024
  • Cibles : Organisations liées à un fabricant d’armes.
  • Leurre : Email falsifié Microsoft Office → faux site Word + vidéo tutoriel.
  • Effet : JavaScript → PowerShell → C2 Empire.

🇷🇺 APT28 (GRU)

  • Période : Octobre 2024
  • Technique : Phishing via faux Google Spreadsheet → exécution PowerShell via pop-up.
  • Effet : Tunnel SSH ouvert + lancement de Metasploit → accès distant complet.

🛡️ Pourquoi ça marche si bien ?

  • Interface familière = baisse de vigilance.
  • Script manuel = échappe aux protections automatisées.
  • Urgence simulée = pression psychologique.
  • Pas besoin de vulnérabilité technique : c’est l’utilisateur qui devient le vecteur.

✅ Recommandations de défense

  • Sensibilisation renforcée : expliquer pourquoi on ne copie jamais une commande inconnue.
  • Bloquer l’exécution non autorisée de PowerShell/terminal.
  • Filtrage des URL et sandbox des pièces jointes.
  • Surveillance comportementale (EDR, XDR).
  • Plans de réponse aux incidents testés régulièrement.

🧠 Conclusion

ClickFix illustre un changement dans la tactique des groupes APT : au lieu de casser des portes, ils vous demandent gentiment d’ouvrir la porte vous-même.
La technique repose sur l’exploitation psychologique, et non sur des failles logicielles, ce qui la rend d’autant plus dangereuse.
La première ligne de défense, c’est l’humain.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/state-sponsored-hackers-embrace-clickfix-social-engineering-tactic/