Teknik ClickFix: Senjata Baru Peretas Global

Peretas Negara Gunakan Teknik ClickFix untuk Serangan Malware Bertarget
Sejumlah kelompok peretas yang didukung oleh negara dari Iran, Korea Utara, dan Rusia diketahui telah menggunakan teknik rekayasa sosial terbaru bernama ClickFix dalam kampanye serangan malware yang berlangsung sejak akhir 2024 hingga awal 2025. Teknik ini yang sebelumnya populer di kalangan penjahat siber kini mulai diadopsi oleh aktor negara karena efektivitasnya dalam membuka akses awal ke sistem target.

Menurut laporan dari perusahaan keamanan siber Proofpoint yang dirilis baru-baru ini, kelompok peretas yang menggunakan teknik ini termasuk TA427 (dikenal juga sebagai Kimsuky), TA450 (MuddyWater), UNK_RemoteRogue, dan TA422 (APT28). Kampanye mereka menggunakan metode ClickFix untuk mengelabui target agar secara tidak sadar mengunduh dan menjalankan malware di perangkat mereka sendiri.

Apa Itu Teknik ClickFix?

ClickFix merupakan sebuah metode manipulasi yang menyamarkan perintah berbahaya sebagai solusi dari permasalahan tertentu di komputer korban. Target diarahkan untuk mengikuti instruksi tertentu seperti menyalin, menempelkan, dan menjalankan perintah di sistem mereka, dengan dalih menyelesaikan masalah teknis, memverifikasi CAPTCHA, atau mendaftarkan perangkat mereka.

Teknik ini tidak mengubah struktur serangan siber secara revolusioner, namun lebih menggantikan tahapan instalasi dan eksekusi dalam rantai infeksi malware yang sudah ada. Artinya, dengan ClickFix, para peretas tidak perlu lagi mengirim file berbahaya secara langsung, melainkan hanya memberikan perintah yang tampak sah agar dijalankan oleh pengguna.

Kampanye TA427: Kedok Pertemuan Diplomatik

Proofpoint pertama kali mendeteksi penggunaan ClickFix oleh TA427 (Kimsuky) pada Januari dan Februari 2025. Sasaran utama mereka adalah individu di beberapa lembaga pemikir (think tank) yang fokus pada isu-isu Korea Utara. Kelompok ini memulai interaksi melalui undangan pertemuan palsu yang tampak dikirim oleh diplomat Jepang.

Setelah membangun kepercayaan melalui percakapan, korban diarahkan ke situs palsu yang dikendalikan peretas. Di sana, mereka diminta menjalankan perintah PowerShell, yang ternyata memicu serangkaian tahapan berlapis hingga akhirnya mengunduh Quasar RAT, malware akses jarak jauh berbasis open-source.

Uniknya, dalam email disebutkan bahwa penerima harus mengatur pertemuan dengan duta besar Jepang. Email ini menyertakan file PDF berbahaya berisi tautan menuju dokumen palsu. Tautan ini mengarah ke situs tiruan Kedutaan Besar Jepang, yang kemudian meminta pengguna untuk mendaftarkan perangkat dengan menyalin perintah ke jendela Run di Windows.

Perintah PowerShell tersebut mengunduh perintah kedua yang menampilkan dokumen PDF tipuan, seolah-olah berasal dari Kementerian Luar Negeri Jepang, berisi pertanyaan seputar isu nuklir dan kebijakan di Asia Timur Laut. Selanjutnya, skrip tersebut membuat skrip Visual Basic yang dijadwalkan berjalan setiap 19 menit, mengunduh dan menjalankan Quasar RAT.

TA450 Gunakan ClickFix untuk Penyusupan Lewat RMM

Kelompok kedua yang diketahui menggunakan teknik ini adalah TA450 (MuddyWater), yang berafiliasi dengan Iran. Mereka mengirim email phishing pada 13 dan 14 November 2024, bersamaan dengan pembaruan Patch Tuesday dari Microsoft. Email tersebut menyamar sebagai pembaruan keamanan dari Microsoft dan menginstruksikan penerima untuk menjalankan perintah ClickFix demi menambal kerentanan palsu.

Dalam hal ini, target dibujuk untuk menjalankan PowerShell sebagai administrator dan menyalin perintah dari isi email. Perintah tersebut bertugas menginstal perangkat lunak remote monitoring and management (RMM) bernama Level, yang kemudian dimanfaatkan untuk memata-matai sistem korban dan mencuri data secara diam-diam.

Kampanye TA450 menargetkan sektor keuangan, pemerintah, kesehatan, pendidikan, dan transportasi, terutama di kawasan Timur Tengah seperti Uni Emirat Arab dan Arab Saudi. Namun, korban juga ditemukan di negara-negara Barat seperti Kanada, Jerman, Swiss, dan Amerika Serikat.

UNK_RemoteRogue: Peretas Rusia Gunakan Tutorial YouTube

Kelompok ketiga, yang diduga berasal dari Rusia dan dilacak dengan nama UNK_RemoteRogue, juga ikut serta dalam tren ClickFix ini. Mereka menjalankan kampanye menjelang akhir 2024 dengan mengirim email umpan dari server Zimbra yang kemungkinan telah diretas.

Email ini menyertakan tautan ke dokumen Microsoft Office, yang ketika dibuka menampilkan halaman instruksi untuk menyalin kode dari browser ke terminal. Menariknya, peretas bahkan menyertakan video tutorial YouTube tentang cara menjalankan PowerShell, sebuah cara inovatif untuk menyesatkan korban.

Perintah PowerShell tersebut mampu menjalankan JavaScript yang menghubungkan ke infrastruktur Empire C2 (command-and-control). Menurut Proofpoint, kampanye ini menargetkan dua organisasi yang terhubung dengan produsen senjata besar di sektor pertahanan.

Lebih lanjut, UNK_RemoteRogue diketahui menggunakan infrastruktur yang sama dengan kampanye phishing lainnya yang menargetkan industri pertahanan dan kedirgantaraan. Mereka mencoba mencuri kredensial akun email melalui halaman login palsu, dengan memanfaatkan konflik yang sedang berlangsung di Ukraina sebagai latar belakang umpan.

Tren Global ClickFix di Dunia Siber

Laporan ini menegaskan bahwa penggunaan teknik ClickFix tidak hanya efektif tetapi juga semakin digemari oleh peretas dari berbagai negara. Meskipun tidak digunakan secara konsisten oleh setiap kelompok, tren ini menunjukkan bahwa peretas dari Korea Utara, Iran, dan Rusia sedang aktif menguji dan mengembangkan teknik ini dalam operasi mereka.

“Banyak contoh dari pelaku ancaman yang disponsori negara menggunakan ClickFix menunjukkan tidak hanya kepopuleran teknik ini, tetapi juga penggunaannya oleh berbagai negara dalam waktu yang hampir bersamaan,” tulis Proofpoint.

Dengan ClickFix, garis antara rekayasa sosial dan teknik peretasan teknis semakin kabur. Dalam skenario ini, manusia menjadi titik lemah utama, karena mereka yang tanpa sadar mengeksekusi perintah berbahaya yang justru membuka celah bagi peretas.

Kemunculan dan penyebaran teknik ClickFix sebagai senjata baru dalam dunia peretasan yang disponsori negara menunjukkan betapa pentingnya kewaspadaan terhadap manipulasi siber yang menyamar dalam bentuk yang tampak aman.

Di tengah meningkatnya ancaman global terhadap keamanan data, para individu dan organisasi perlu meningkatkan literasi digital serta memperkuat sistem pertahanan siber mereka.