Sandworm adopte la technique Clickfix pour infecter des cibles ukrainiennes
Original : Now, even Russia's most elite hackers are using Clickfix to infect devices
Pourquoi c'est important
L'adoption de Clickfix par des acteurs étatiques marque une évolution des menaces APT vers des techniques criminelles éprouvées.
Le groupe d'élite russe Sandworm, rattaché au GRU, utilise désormais la technique Clickfix pour compromettre des organisations en Ukraine. Le CERT ukrainien a identifié au moins 10 sites web piégés et plusieurs malwares personnalisés déployés depuis le printemps 2026.
Le CERT ukrainien a publié mercredi une alerte signalant que Sandworm, unité de piratage d'élite du GRU (renseignement militaire russe), a adopté la technique d'ingénierie sociale Clickfix pour cibler des organisations sensibles en Ukraine. Jusqu'ici principalement utilisée par des cybercriminels à motivation financière, cette technique consiste à afficher un faux CAPTCHA sur des sites compromis, invitant l'utilisateur à copier-coller un script PowerShell dans son terminal, ce qui déclenche l'installation de malwares. Les autorités ukrainiennes ont identifié au moins 10 sites web compromis diffusant ces faux CAPTCHA. La campagne, active depuis le printemps 2026, a conduit à la compromission d'au moins une organisation via l'installation du malware FreakyPoll, un script Python servant de backdoor. Le schéma d'attaque implique plusieurs outils : GHETTOVIBE (script VBS de persistance), SCOUTCURL (reconnaissance système via PowerShell), FluidLeech (déguisé en antivirus) et LoadLoop. Les attaquants utilisent également un programme nommé SMARTAXE, ainsi que le service Cloaking.House pour filtrer le trafic et afficher dynamiquement des pages malveillantes.