Grupos de hackers patrocinados por governos do Irã, Coreia do Norte e Rússia têm adotado a técnica de engenharia social conhecida como “ClickFix” em campanhas de malware entre o fim de 2024 e início de 2025. A tática, antes associada a cibercriminosos, agora é usada por agentes estatais como TA427 (Kimsuky), TA450 (MuddyWater), UNK_RemoteRogue e TA422 (APT28), segundo relatório da Proofpoint.

O ClickFix engana vítimas para que executem comandos maliciosos sob o pretexto de corrigir erros, completar CAPTCHAs ou registrar dispositivos. Em vez de inovar os métodos desses grupos, a técnica substitui etapas tradicionais de instalação e execução em cadeias de infecção. Em janeiro e fevereiro, a TA427 iniciou ataques direcionados a think tanks, fingindo ser um diplomata japonês. Após ganhar a confiança do alvo, conduziam-no a um site falso que solicitava a execução de comandos PowerShell para baixar o trojan Quasar RAT.

A TA450, ligada ao Irã, usou tática similar durante o Patch Tuesday da Microsoft, enviando e-mails falsos com instruções ClickFix para instalar o software de gerenciamento remoto Level, utilizado para espionagem em setores como finanças, saúde e transporte, especialmente no Oriente Médio, EUA, Canadá e Europa. Já o grupo russo UNK_RemoteRogue utilizou servidores comprometidos para enviar links que redirecionavam a páginas falsas com tutoriais e comandos PowerShell conectados ao framework Empire. O ataque teve como alvo duas organizações ligadas a um grande fabricante de armamentos. Pesquisadores de cibersegurança alertam que o rápido crescimento do uso do ClickFix entre grupos estatais indica que a técnica deve se espalhar ainda mais, tornando-se um recurso comum em campanhas de espionagem digital.