Retour au blogSécurité

ClickFix : la ruse qui piège désormais même les hackers d'élite russes

CZSyn
17 juillet 2026
6 min

Le CERT-UA révèle que Sandworm (GRU) infecte des cibles ukrainiennes via ClickFix. Décryptage de la technique et conseils de protection pour les PME.

Faux CAPTCHA affichant une commande PowerShell malveillante sur un écran d'ordinateur dans un bureau sombre
Ce qu'il faut retenir.
  1. Le CERT-UA confirme que Sandworm, unité d'élite du renseignement militaire russe (GRU), utilise désormais ClickFix pour infecter des organisations sensibles en Ukraine, via au moins dix sites web compromis diffusant un faux CAPTCHA.
  2. La chaîne d'infection combine plusieurs outils sur mesure : GhettoVibe pour la persistance, ScoutCurl pour la reconnaissance, FreakyPoll comme porte dérobée, et SmartAxe, qui récupère le domaine malveillant via un smart contract Ethereum.
  3. ClickFix contourne les antivirus car c'est l'utilisateur lui-même qui exécute la commande copiée-collée dans son terminal : la sensibilisation et le durcissement de PowerShell sont plus efficaces que la seule détection par signature.

Résumé généré par IA

Le CERT-UA, l'agence ukrainienne de cybersécurité, l'affirme dans un avis publié cette semaine : Sandworm, l'unité d'élite du renseignement militaire russe (GRU), utilise désormais la technique ClickFix pour infecter des organisations sensibles en Ukraine. Au moins dix sites web compromis ont servi de porte d'entrée à cette campagne, active depuis le printemps 2026.

ClickFix n'est pas un exploit technique au sens classique. C'est une ruse d'ingénierie sociale apparue il y a un peu plus d'un an, popularisée par des cybercriminels financièrement motivés. Le principe est simple : un site sous contrôle de l'attaquant affiche un faux CAPTCHA qui prétend vérifier que vous êtes humain. Pour passer le test, il vous demande de copier un bloc de texte, puis de le coller dans une fenêtre d'exécution Windows ou un terminal. Ce texte est en réalité une commande malveillante. Une fois validée par la victime elle-même, elle installe le malware ou exfiltre des données. Ce qui change avec l'annonce du CERT-UA, c'est que cette technique, jusqu'ici associée à la criminalité de masse, est désormais reprise par l'un des groupes d'espionnage étatique les plus redoutés au monde.

La mécanique observée par le CERT-UA

Selon l'avis ukrainien, les dix sites compromis affichaient une commande PowerShell présentée comme nécessaire pour confirmer la présence d'un humain derrière le clavier. Une fois le script collé et exécuté, il installait des scripts Visual Basic malveillants et d'autres charges utiles. Le CERT-UA donne un exemple concret : la commande pouvait charger et enregistrer un fichier VBS dans le dossier de démarrage de Windows, assurant la persistance du malware au redémarrage de la machine.

Une chaîne d'outils sur mesure

L'avis détaille plusieurs programmes maison utilisés dans cette campagne, chacun avec un rôle précis dans la chaîne d'attaque :

  • GhettoVibe, le premier maillon, déposé dans le dossier Startup de Windows pour assurer la persistance.
  • ScoutCurl, un script PowerShell de reconnaissance qui collecte et exfiltre les caractéristiques de base de la machine, les logiciels installés, des fichiers et les données du navigateur.
  • FreakyPoll, une porte dérobée écrite en Python, déployée sur les machines jugées suffisamment intéressantes après la phase de reconnaissance.
  • FluidLeech, déguisé en programme antivirus.
  • LoadLoop, un autre module cité par le CERT-UA dans la même campagne.

Le CERT-UA précise que seules les machines jugées importantes à l'issue de la reconnaissance menée par ScoutCurl reçoivent la charge de second niveau, comme FreakyPoll. Cette logique de tri limite l'exposition de l'arsenal le plus sensible et complique la détection : la majorité des victimes ne voient jamais tourner le malware le plus avancé.

SmartAxe et Cloaking.House : une infrastructure qui se cache derrière une blockchain

Le point le plus inhabituel de cette campagne tient à l'infrastructure de diffusion. Les attaquants s'appuient d'abord sur Cloaking.House, un service qui permet de filtrer le trafic entrant et, selon certaines conditions, d'afficher une page distante, d'injecter un iframe ou de rediriger le visiteur vers une autre ressource. Sandworm y ajoute une couche supplémentaire baptisée SmartAxe, qui va chercher dynamiquement le nom de domaine de la ressource distante en interrogeant un smart contract Ethereum, via un appel eth_call sur une adresse et un sélecteur de fonction définis dans le code.

Résultat concret : l'infrastructure malveillante peut changer de domaine sans toucher au code déployé sur les sites compromis, et sans dépendre d'un registrar ou d'un hébergeur facilement identifiable et bloqué.

Sandworm ne mise pas tout sur ClickFix

Le CERT-UA rappelle que Sandworm multiplie les vecteurs d'attaque. CowardDuck, une porte dérobée Android, s'installe via de fausses applications qui incitent la cible à les installer, puis rassemble des fichiers potentiellement sensibles avant de les envoyer vers un serveur contrôlé par l'attaquant. Le groupe a aussi utilisé par le passé des trackers Torrent piégés, en glissant des liens vers des logiciels piratés vérolés, ou de longues conversations sur Signal destinées à mettre en confiance la cible avant de lui faire installer un faux logiciel de sécurité.

Pourquoi ClickFix passe sous les radars des antivirus

L'efficacité de ClickFix tient à un détail simple : ce n'est pas un fichier malveillant qui s'exécute tout seul, c'est vous qui exécutez la commande, via un outil parfaitement légitime (PowerShell, l'invite d'exécution Windows, un terminal). Un antivirus à base de signatures ne voit ni fichier suspect téléchargé ni pièce jointe piégée : il voit un utilisateur qui lance PowerShell, comme il le ferait pour n'importe quelle tâche d'administration courante.

Quelques mesures concrètes, accessibles à une PME, réduisent nettement le risque :

  • Former les équipes : aucun site légitime ne demande de coller une commande dans un terminal ou dans la fenêtre Exécuter pour prouver que vous êtes humain. C'est le réflexe d'alerte le plus simple à diffuser en interne.
  • Restreindre PowerShell : activer le Constrained Language Mode, imposer une politique d'exécution restreinte via une stratégie de groupe, et activer le ScriptBlock Logging pour tracer ce qui est réellement exécuté sur les postes.
  • Activer les règles ASR (Attack Surface Reduction) de Microsoft Defender, qui bloquent les processus Office ou navigateur lançant des sous-processus type PowerShell ou mshta.
  • Surveiller côté EDR les enchaînements suspects : un navigateur qui déclenche explorer.exe puis powershell.exe est un schéma quasiment jamais légitime sur un poste de travail.
  • Pour les administrateurs de sites et hébergeurs, le CERT-UA recommande explicitement de surveiller la présence de web shells, d'extensions non autorisées et de tout signe de compromission sur les serveurs, puisque ce sont les sites eux-mêmes qui servent de porte d'entrée dans cette campagne.

Notre lecture chez CZSyn

Chez CZSyn, nous retenons deux enseignements directement exploitables pour les PME françaises que nous accompagnons. D'abord, ClickFix confirme qu'un site web mal maintenu n'est plus seulement un risque de défacement ou de vol de données clients : il devient un vecteur de diffusion pour des campagnes d'espionnage étatique, comme le montrent les dix sites compromis par Sandworm. Un audit de sécurité régulier, la mise à jour des CMS et de leurs extensions, et un pare-feu applicatif ne sont plus des options pour un site professionnel.

Ensuite, cette affaire illustre une bascule que nous observons depuis plusieurs mois : les groupes les plus sophistiqués recyclent des techniques peu coûteuses, popularisées par la cybercriminalité de masse, parce qu'elles fonctionnent et reviennent bien moins cher à développer qu'un exploit inédit. Pour une entreprise, la meilleure défense contre ClickFix n'est ni un antivirus dernier cri ni un pare-feu supplémentaire : c'est la sensibilisation des équipes couplée à un durcissement basique de PowerShell. Deux mesures peu coûteuses, et souvent plus efficaces ici que n'importe quel investissement technique lourd.

Votre site ou votre parc informatique sont-ils exposés à ce type d'attaque ?

Nous auditons la sécurité de vos sites web et de vos postes, et accompagnons vos équipes sur les bons réflexes face aux techniques d'ingénierie sociale. Audit gratuit sous 24h.

06 64 81 45 03

ou programmez votre appel · devis gratuit en ligne

29 avis 5/5 · +200 projets livrés · réponse express

Sources primaires

Un projet en tête ?

Diagnostic gratuit, devis ferme, et un seul interlocuteur du premier appel à la mise en ligne.