Marc Sureda
La técnica ClickFix, basada en ingeniería social y observada por primera vez en marzo de 2024, ha sido adoptada en los últimos meses por actores vinculados al ciberespionaje patrocinado por estados, tal como ha documentado la empresa de ciberseguridad Proofpoint con su uso por parte de grupos de Corea del Norte, Irán y Rusia, que la han integrado en campañas dirigidas a objetivos estratégicos en ámbitos como el defensa, el sector gubernamental o los think tanks.
ClickFix emplea cuadros de diálogo y páginas web manipuladas para persuadir a las víctimas a copiar y ejecutar comandos maliciosos directamente en sus sistemas. De este modo, el atacante evita mecanismos automáticos de detección, delegando en el usuario la activación de la amenaza.
Esta táctica, ya conocida en el mundo del cibercrimen, se está replicando ahora en campañas orientadas a la obtención de información sensible, exfiltración de datos y acceso persistente a infraestructuras.
Adaptaciones regionales de ClickFix: Corea del Norte, Irán y Rusia
En el caso de Corea del Norte, el grupo TA427 ha desplegado ClickFix en cadenas de infección diseñadas para atacar a analistas de organizaciones internacionales. Mediante remitentes falsificados que simulan ser contactos legítimos, el grupo inicia diálogos con el objetivo de ganar su confianza y redirigirle a páginas falsas donde se le indica cómo ejecutar manualmente un comando PowerShell. Algunas variantes de esta campaña han incluido secuencias más complejas que combinan scripts PowerShell, VBS y archivos por lotes, culminando en la instalación del malware QuasarRAT.
Desde Irán, el grupo TA450 ha dirigido una campaña a organizaciones financieras y gubernamentales de Oriente Medio. El ataque simula ser una actualización de seguridad de Microsoft, solicitando a los usuarios que ejecuten instrucciones en PowerShell bajo privilegios de administrador. El objetivo final es la instalación de software de control remoto, utilizado para realizar espionaje y extracción de datos confidenciales.
Por su parte, un actor sospechoso de origen ruso, identificado como UNK_RemoteRogue, ha empleado la técnica para atacar entidades vinculadas a un fabricante de armamento. Utilizando servidores de correo Zimbra comprometidos, los atacantes distribuyen enlaces a archivos HTML que se hacen pasar por documentos de Microsoft Word con instrucciones en ruso para copiar código en la terminal. Estas páginas incluso enlazan a tutoriales en YouTube para guiar a las víctimas en la ejecución de los comandos maliciosos.
Una técnica no persistente, pero en expansión
Aunque el uso de ClickFix no se ha mantenido en el tiempo por parte de estos grupos, su adopción en campañas de alto nivel sugiere que sigue siendo evaluada como método de ataque. Según los investigadores de Proofpoint, no está claro si la técnica se descarta tras una sola campaña por ser poco efectiva o si simplemente forma parte de pruebas de concepto limitadas. En cualquier caso, se prevé que más actores adopten variantes de ClickFix en el futuro.
La notable ausencia de grupos patrocinados por China en el uso documentado de ClickFix podría deberse únicamente a una cuestión de visibilidad, ya que su uso se ha extendido en un plazo corto entre múltiples actores con intereses diversos.
La tendencia apunta a que la ingeniería social directa y guiada se está consolidando como una vía de ataque eficaz para comprometer dispositivos fuera del alcance de medidas automatizadas de protección.
Conclusiones para los responsables de seguridad
La evolución y reutilización de tácticas procedentes del cibercrimen en entornos de espionaje estatal pone de manifiesto la necesidad de estrategias defensivas centradas en el factor humano. Técnicas como ClickFix explotan la interacción del usuario final y requieren campañas de concienciación y entrenamiento continuos. Además, el uso de comandos manuales camuflados como instrucciones legítimas plantea retos importantes para los sistemas de detección basados en firmas o comportamientos automáticos.
Los responsables de ciberseguridad deben considerar esta técnica dentro de sus modelos de amenaza actuales y reforzar los mecanismos de validación de accesos y ejecución de comandos en entornos críticos.
