ReliaQuest a observé des attaquants associant ClickFix à l’outil proxy PySoxy pour établir des chemins d’accès cryptés redondants et une persistance sur les systèmes compromis.
ClickFix, une technique d’ingénierie sociale unique qui incite les victimes à exécuter des flux de travail malveillants déguisés en correctifs à des problèmes techniques dans leurs systèmes, a bénéficié d’une mise à niveau de persistance.
Dans un cas isolé, les chercheurs de ReliaQuest ont repéré une chaîne d’intrusion utilisant des tâches planifiées, un système de commande et de contrôle (C2) basé sur PowerShell et un abus unique de l’outil proxy open source PySoxy, vieux de dix ans.
Comme les chercheurs l’ont souligné dans un article de blog, PySoxy offre aux attaquants un accès proxy crypté sans recourir à des logiciels malveillants bien connus ou à des outils de surveillance et de gestion à distance (RMM). La chaîne d’attaque observée a établi un premier canal C2 basé sur PowerShell, suivi d’un deuxième chemin C2 via PySoxy.
La campagne a été observée en avril. ReliaQuest a déclaré que c’était la première fois qu’elle voyait ClickFix combiné avec PySoxy lors d’intrusions actives.
PySoxy utilisé pour la persistance double canal
L’attaque a commencé avec un leurre ClickFix qui a incité la victime à coller et à exécuter manuellement une commande malveillante déguisée en solution à un problème technique. Une fois lancée, la commande a lancé une chaîne d’infection en plusieurs étapes.
Selon ReliaQuest, le flux d’exécution a établi la persistance grâce à des tâches planifiées, effectué une reconnaissance de domaine et ouvert un premier canal C2 basé sur PowerShell aux attaquants. La chaîne a ensuite déployé PyProxy pour créer un deuxième chemin de communication crypté qui transforme le point final infecté en relais proxy.
« Après avoir organisé localement la sortie de reconnaissance et l’avoir téléchargée sur une infrastructure distincte contrôlée par l’attaquant, l’attaquant a téléchargé les outils Python sur C:ProgramData », ont déclaré les chercheurs. « Le fichier de bytecode compilé a ensuite été exécuté avec Python et identifié comme PySoxy. Cela a transformé l’intrusion d’une chaîne d’accès dirigée par PowerShell en une chaîne avec des chemins d’accès redondants. «
Les chercheurs ont noté que l’utilisation d’un deuxième point d’accès, via un proxy via PySoxy, permet à l’intrusion de se poursuivre même après le blocage de la connexion PowerShell C2.
ClickFix dérive vers la post-exploitation
ReliaQuest a souligné la preuve que ClickFix n’est plus seulement un mécanisme de fourniture d’ingénierie sociale. Il est de plus en plus utilisé comme passerelle vers des opérations post-exploitation plus larges impliquant la furtivité, la persistance et l’abus d’outils fiables.
Plus tôt cette année, la société de technologie de cybersécurité a signalé que ClickFix représentait une part importante des incidents observés et des activités d’évasion de la défense fin 2025 et début 2026, les attaquants s’appuyant sur des commandes obscurcies et des chaînes d’exécution cachées.
L’utilisation de PySoxy marque le passage de ClickFix à des outils légitimes plus anciens avec des techniques d’accès modulaires. En orchestrant plusieurs voies de communication au sein de la chaîne, les attaquants obligent les défenseurs à intensifier leurs efforts de confinement.
« Pour l’avenir, nous nous attendons à ce que les opérateurs ClickFix continuent d’expérimenter des outils de post-exploitation au-delà de PowerShell », ont déclaré les chercheurs. « Python est une option, mais la logique sous-jacente, utilisant n’importe quel environnement d’exécution de script disponible pour mettre en scène un proxy ou une fonctionnalité C2 sans abandonner une charge utile traditionnelle, s’applique également aux autres interprètes. »
Les indices de chasse incluent des tâches planifiées et des artefacts Python
Dans la chaîne observée par ReliaQuest, des tâches planifiées ont relancé à plusieurs reprises des activités malveillantes après l’échec des tentatives de communication. ReliaQuest a déclaré que les défenseurs devraient spécifiquement enquêter sur la création de tâches planifiées récurrentes ainsi que sur les artefacts inhabituels liés à Python et l’activité de ligne de commande de style proxy.
Les recommandations destinées aux intervenants en cas d’incident comprenaient l’isolement des hôtes concernés, l’examen des tâches planifiées pour détecter les modèles de réexécution suspects et la recherche de comportements de proxy chiffrés dans les processus Python au lieu de se concentrer uniquement sur le trafic C2 bloqué.
« Recherchez des lignes de commande contenant des combinaisons telles que -ssl, -remote_ip, -remote_port, SOCKS ou .pyc », ont déclaré les chercheurs, ajoutant qu’il s’agissait de signaux de grande valeur pour une activité de type PySoxy.
