Maliciozna grupa Kimsuky, poznata po operacijama koje je podržavala Sjeverna Koreja, primijenila je novu, sofisticiranu metodu društvenog inženjeringa nazvanu „ClickFix“ kako bi navela korisnike da na vlastitim sistemima pokrenu maliciozne skripte. Ova tehnika, prvi put otkrivena od strane istraživača iz Proofpointa u aprilu 2024. godine, uspješno obmanjuje žrtve navodeći ih da vjeruju kako moraju riješiti probleme sa pregledačem ili potvrditi bezbjednosne dokumente, čime nesvjesno učestvuju u sopstvenom kompromitovanju putem ručnog izvršavanja koda.
ClickFix predstavlja značajan napredak u psihološkoj manipulaciji jer prikriva maliciozne naredbe kao legitimne procedure za rješavanje problema. Žrtve se suočavaju sa lažnim porukama o greškama koje izgledaju kao da potiču od pouzdanih izvora, poput Google Chromea, te ih navode da kopiraju i lijepe naizgled bezazlen kod u konzole PowerShell. Ovaj pristup efikasno zaobilazi tradicionalne bezbjednosne mjere jer iskorištava ljudsko ponašanje, a ne tehničke ranjivosti, što znatno otežava otkrivanje za standardne sisteme za zaštitu krajnjih tačaka.
Analitičari kompanije Genians zabilježili su brojne napadačke kampanje tokom 2025. godine u kojima su operativci Kimsuky uspješno primijenili ClickFix taktiku protiv visokovrijednih meta u Južnoj Koreji. Istraživači su primijetili da grupa cilja stručnjake za diplomatiju i nacionalnu bezbjednost putem sofisticovanih operacija ciljanog phishinga, demonstrirajući time efikasnost ove tehnike u zaobilaženju sistema za zaštitu krajnjih tačaka.
Kampanje su evoluirale od jednostavnih napada zasnovanih na VBS skriptama do složenijih implementacija u PowerShellu, pokazujući kontinuirano prilagođavanje odbrambenim mjerama. Nedavna istraživanja su otkrila da je Kimsuky integrisao ClickFix u svoju tekuću operaciju „BabyShark“, koristeći uputstva na više jezika, uključujući engleski, francuski, njemački, japanski, korejski, ruski i kineski. Napadači se predstavljaju kao legitimni entiteti, poput vladinih zvaničnika, novinskih dopisnika i bezbjednosnog osoblja, kako bi stekli povjerenje prije isporuke malicioznih tereta putem šifrovanih arhiva ili obmanjujućih web stranica dizajniranih da imitiraju autentične portale i usluge.
Napredna obskurnost i mehanizmi postojanosti Kimsukyjevih ClickFix implementacija ukazuju na značajno usavršavanje tehnika izbjegavanja usmjerenih na prevazilaženje modernih bezbjednosnih rješenja. Maliciozni softver koristi obskurnost nizova u obrnutom redoslijedu kako bi sakrio maliciozne PowerShell komande, čineći vizuelni pregled gotovo nemogućim, a istovremeno zadržavajući punu sposobnost izvršavanja. Tipična obskurna struktura komande izgleda ovako: $value="tixe&"'atad-mrof/trapitlum' epyTtnetnoC-" $req_value=-join $value.ToCharArray()[-1..-$value.Length]; cmd /c $req_value;exit;. Ova tehnika skladišti malicioznu funkcionalnost u obrnutim nizovima koji se zatim rekonstruišu tokom izvođenja putem funkcija manipulacije nizovima karaktera PowerShell-a. Maliciozni softver dodatno zamagljuje svoje operacije umetanjem nasumičnih numeričkih sekvenci, kao što je „7539518426“, kroz strukture komandi, koristeći izvorne funkcije za zamjenu nizova Windowsa za uklanjanje ovih oznaka tokom izvršavanja, efektivno stvarajući dinamički proces dešifrovanja.
Nakon uspješnog raspoređivanja, maliciozni softver uspostavlja postojanost kreiranjem zakazanih zadataka i održava komunikaciju sa komandno-kontrolnim serverima koristeći prepoznatljive obrasce URI-ja, uključujući „demo.php?ccs=cin“ i „demo.php?ccs=cout“. Infrastruktura se prostire kroz više zemalja i koristi dinamičke DNS usluge, pri čemu nedavne kampanje komuniciraju putem domena kao što su konamo.xyz i raedom.store. Dosljedni identifikator verzije „Version:RE4T-GT7J-KJ90-JB6F-VG5F“ koji je zabilježen kroz kampanje potvrđuje povezanost sa Kimsukyjevom širim „BabyShark“ operacijom.