Grupos cibercriminosos com ligações diretas a governos do Irã, Coreia do Norte e Rússia passaram a adotar uma técnica sofisticada chamada ClickFix em campanhas de malware altamente direcionadas. Essa abordagem, baseada em engenharia social, esteve ativa entre o final de 2024 e o início de 2025, sendo empregada em operações que visavam setores estratégicos e sensíveis em diferentes países.
Segundo a empresa de segurança Proofpoint, os ataques foram atribuídos a grupos como TA427 (Kimsuky), TA450 (MuddyWater) e UNK_RemoteRogue (APT28). Embora o ClickFix tenha surgido em campanhas de criminosos cibernéticos comuns, sua eficácia chamou a atenção de grupos estatais, que agora o integram às suas cadeias de infecção.
Como funciona a técnica ClickFix
O método ClickFix consiste em induzir usuários a executar comandos maliciosos, geralmente via PowerShell, acreditando que estão solucionando algum problema técnico, como uma falha de segurança, uma verificação CAPTCHA ou a necessidade de registrar um dispositivo. A própria vítima, seguindo instruções detalhadas, é quem acaba infectando sua máquina.
Casos observados
TA427 (Kimsuky) — Coreia do Norte
Em janeiro e fevereiro de 2025, o grupo norte-coreano Kimsuky foi detectado usando o ClickFix para atacar organizações do setor de pesquisa e relações internacionais. Os atacantes iniciaram o contato com e-mails falsos que simulavam pedidos de reunião, supostamente enviados por um diplomata japonês.
Após conquistar a confiança da vítima por meio de conversas cuidadosamente roteirizadas, os hackers redirecionavam o alvo para um site falso da Embaixada do Japão, onde um comando era fornecido para ser colado e executado no terminal. Esse comando iniciava a cadeia de infecção, levando à instalação do Quasar RAT, um trojan de acesso remoto open-source.
TA450 (MuddyWater) — Irã
O grupo iraniano, conhecido por suas operações persistentes, utilizou o ClickFix para instalar ferramentas de gerenciamento remoto, como o Level, sob o pretexto de uma atualização de segurança da Microsoft. Os e-mails foram enviados estrategicamente nos dias seguintes ao Patch Tuesday de novembro de 2024.
A vítima era orientada a executar comandos com privilégios administrativos, que resultavam na instalação do software RMM. Com o sistema comprometido, os atacantes mantinham acesso remoto para fins de espionagem e exfiltração de dados. A campanha teve como alvo setores financeiro, governamental, educacional, de saúde e de transporte, com foco especial em países como Emirados Árabes Unidos, Arábia Saudita, Canadá, Alemanha, Suíça e Estados Unidos.
UNK_RemoteRogue — Rússia
No final de 2024, o grupo russo explorou o ClickFix em e-mails enviados a partir de servidores Zimbra comprometidos. As mensagens continham links que levavam a documentos do Microsoft Office falsos, seguidos de páginas com tutoriais em vídeo ensinando como executar scripts maliciosos via PowerShell.
Esses scripts estavam ligados a estruturas de comando e controle (C2), como o Empire, e miravam organizações do setor de defesa, incluindo fabricantes de armamentos. Também foram identificadas infraestruturas compartilhadas com outras campanhas relacionadas ao conflito na Ucrânia, com foco em roubo de credenciais via páginas de login forjadas.
Conclusão: A ameaça do ClickFix em expansão
A disseminação do ClickFix entre grupos estatais de diferentes países evidencia sua eficiência como vetor de ataque inicial. Apesar de não ser um método amplamente reutilizado, a técnica demonstra grande potencial, especialmente por explorar a confiança humana em situações aparentemente legítimas. A tendência é que grupos de ameaça da Coreia do Norte, Irã e Rússia continuem a experimentar e aperfeiçoar esse tipo de abordagem no futuro próximo.