كشفت تقارير أمنية عن استخدام مجموعات قرصنة مدعومة من دول مثل إيران وكوريا الشمالية وروسيا لتقنية ClickFix، وهي تكتيك للهندسة الاجتماعية أصبح شائعاً مؤخراً، لنشر البرمجيات الخبيثة خلال فترة امتدت من أواخر 2024 وحتى بداية 2025.
وقد نُسبت هذه الحملات إلى مجموعات معروفة مثل TA427 (المعروفة أيضًا باسم Kimsuky)، وTA450 (المعروفة أيضًا باسم MuddyWater)، وUNK_RemoteRogue، وTA422 (المعروفة أيضًا باسم APT28).
ما هي تقنية ClickFix؟
تشير ClickFix إلى أسلوب خادع يُقنع المستخدمين بتنفيذ أوامر ضارة بأنفسهم، عن طريق اتباع تعليمات زائفة تزعم حل مشكلة تقنية أو تخطي اختبار CAPTCHA أو تسجيل الجهاز. هذا النهج عادةً ما يبدأ برسالة تصيّد تُظهر مصداقية عالية، ويتضمن نسخ أوامر PowerShell وتشغيلها يدوياً.
كيف تستخدم الدول هذه التقنية؟
TA427 – كوريا الشمالية
استهدفت مجموعة TA427 باحثين في مجال الشؤون الكورية برسائل بريد إلكتروني تنتحل صفة دبلوماسي ياباني، وتطلب ترتيب اجتماع مع السفير الياباني. خلال المحادثة، يتم إرسال مستند PDF يحتوي على رابط يقود المستخدم إلى صفحة مزيفة لموقع السفارة اليابانية، حيث يُطلب منه نسخ أمر PowerShell.
هذا الأمر يُفعّل سلسلة من الأوامر الخبيثة تنتهي بتثبيت برنامج التجسس مفتوح المصدر Quasar RAT، مع عرض مستند مزيف يحتوي على أسئلة سياسية لتضليل الضحية.
TA450 – إيران
اعتمدت مجموعة TA450 الإيرانية نفس التقنية لتثبيت برنامج إدارة عن بُعد شرعي يسمى Level، مستغلةً تحديثات مايكروسوفت الشهرية. تم إرسال رسائل بريد إلكتروني تدّعي أنها تحديث أمني، وتحث المستخدمين على تنفيذ أوامر PowerShell بصلاحيات المسؤول.
بعد التثبيت، يُستخدم البرنامج للوصول المستمر والتجسس وسرقة البيانات.
UNK_RemoteRogue – روسيا
لوحظ استخدام مجموعة روسية مشبوهة للتقنية نفسها عبر خوادم Zimbra مخترقة. تضمنت الحملة روابط إلى مستندات Microsoft Office مزيفة مع تعليمات واضحة لتنفيذ أكواد PowerShell، وفيديو تعليمي من YouTube.
البرمجية الضارة كانت متصلة بإطار العمل الهجومي Empire C2، واستهدفت أفرادًا في شركات تصنيع أسلحة مرتبطة بقطاع الدفاع.
الخلاصة والتوقعات
قالت شركة Proofpoint الأمنية إن استخدام تقنية ClickFix من قبل هذه الجهات يظهر شعبيتها المتزايدة حتى بين الجهات الحكومية، حيث يتم تبنيها بسرعة عبر عدة دول.
“رغم أن ClickFix ليست تقنية مستخدمة باستمرار، إلا أن تبنيها المتسارع من قِبل إيران وروسيا وكوريا الشمالية يدل على مدى فعاليتها في تجاوز أنظمة الحماية التقليدية.”
