Ces découvertes mettent en évidence l’évolution des tactiques, techniques et procédures (TTP) et s’intègrent dans une tendance plus large des acteurs étatiques à exploiter des techniques initialement développées et déployées par d’autres types acteurs.
Le premier cas d’utilisation ClickFix a été identifié en mars 2024, avant de se démocratiser au sein des réseaux criminels. Entre fin 2024 et début 2025, les chercheurs de Proofpoint ont finalement observé plusieurs groupes étatiques de Corée du Nord (TA457), d’Iran (TA450) et de Russie (UNK_RemoteRogue et TA422) utilisant ClickFix dans leurs chaînes d’attaques.
Voici les principales conclusions issues de ces récentes découvertes :
• Les acteurs étatiques utilisent désormais ClickFix, une technique d’ingénierie sociale qui exploite les boîtes de dialogue avec des instructions pour copier, coller et exécuter des commandes malveillantes sur le moniteur cible.
• ClickFix a été intégré par les groupes étatiques au sein des chaînes d’infections existantes afin de remplacer les étapes d’installation et d’exécution.
• Sa popularité croissante dans les réseaux de cybercriminalité et les multiples exemples rapprochés d’utilisation suggèrent une adoption plus large de la part des acteurs étatiques à l’avenir, bien que dans la plupart des cas, ces groupes sont finalement revenus à des campagnes standard.

« Bien qu’il ne s’agisse pas d’une technique utilisée de manière persistante, il est probable que davantage d’acteurs malveillants de Corée du Nord, d’Iran et de Russie aient également essayé et testé ClickFix ou pourraient le faire dans un avenir proche. Cependant, les enquêtes récentes de Proofpoint ont également révélé que le groupe TA427 était revenu à ClickFix avec une chaîne d’infection légèrement modifiée en avril, plus de deux mois après les premières observations, indiquant que le groupe développerait davantage la façon dont il utilise ClickFix dans ses opérations, un cas de figure qui pourrait se reproduire dans les mois à venir », précisent les chercheurs de Proofpoint.