Genians安全中心(GSC)最新威胁情报报告揭示了朝鲜网络行动的揭秘将新演变——将社会工程学武器化到令人不寒而栗的程度。报告披露了名为"ClickFix"的朝鲜欺骗性策略被扩大使用，该策略被归因于朝鲜国家支持的组织何l转APT（高级持续威胁）组织Kimsuky，该组织一直通过鱼叉式钓鱼 、心理虚假招聘门户和混淆的欺骗PowerShell命令积极针对专家和机构
。

"BabyShark"威胁系列示意图 | 图片来源：Genians

"ClickFix是一种欺骗性策略
，诱使用户在不知情的揭秘将情况下自行参与攻击链 ，"报告警告称。高防服务器朝鲜"ClickFix"一词最早于2024年4月通过Proofpoint的组织何l转研究出现，描述了一种攻击方式 ：用户以为自己在修复浏览器错误，心理从虚假的欺骗Chrome错误消息中复制PowerShell命令——无意中释放了恶意软件 。

到2025年初 ，武器GSC确认Kimsuky已将这种技术武器化 ，揭秘将并将其整合到他们长期运行的朝鲜"BabyShark"威胁活动中 
。ClickFix的组织何l转精妙之处——也是其危险之处——在于其隐蔽性。与充满危险信号的典型钓鱼邮件不同，ClickFix通过熟悉感建立信任
。云计算它伪装成：

访问安全文档的说明手册 | 图片来源：Genians

2025年3月的一起钓鱼案例中 ，攻击者冒充美国国家安全助理，要求目标使用文本文件中的"认证码"访问"安全文档"。陷阱在于  ：该代码实际上是经过反向混淆的PowerShell命令，视觉上被打乱以避免怀疑  ：

执行后，该命令将受害者的服务器租用机器连接到命令与控制(C2)服务器，建立持久性并收集敏感信息。GSC报告强调了多种传播方法：

所有变种都导致类似结果 ：通过HncUpdateTray.exe等熟悉名称实现完全系统入侵 ，这是一个被重新用于数据窃取的AutoIt脚本
。除了基础设施重叠和恶意软件重用外 ，源码库GSC报告还揭示了更微妙之处：语言指纹
。

在钓鱼信息中 ，朝鲜式词汇如使用"래일"而非"내일"(明天) ，以及"지령"(命令)
、"체계 정보"(系统信息)等术语暴露了来源。这种语言分析与重复出现的C2地址和代码模式等技术标记相结合 ，强化了对Kimsuky的归因。

Kimsuky的基础设施横跨raedom[.]store、securedrive.fin-tech[.]com和kida.plusdocs.kro[.]kr等域名 ，通常托管在韩国和美国服务器上。追踪到中国和越南的IP也参与其中，亿华云表明这是一个地理分布广泛的操作。

感染链经常使用Proton Drive或Google Drive进行文件传递，进一步将恶意文件伪装成合法文件 。GSC提供的MD5哈希和变体信息表明其快速迭代和针对性部署。

"ClickFix本质上是一种心理操控策略 ，引导用户在不知不觉中一步步运行恶意命令，而无法识别威胁，"GSC报告强调 。为应对此类高级威胁，安全团队必须 ：