SmartApeSG: цепочка заражения через ClickFix и RAT-вредоносы

Анализ инцидента, произошедшего 24 March 2026, показывает, что кампания SmartApeSG, также известная под псевдонимами ZPHP и HANEYMANEY, выстраивает заражение как последовательную цепочку с разнесёнными по времени этапами. В атаке применяются Remcos RAT, NetSupport RAT, StealC и Sectop RAT (ArechClient2), а для первичного запуска используется техника ClickFix.

Наблюдаемая временная шкала подтверждает системный подход злоумышленников: от выполнения вредоносного скрипта из поддельной CAPTCHA-страницы до последующего развертывания нескольких вредоносных компонентов проходит несколько часов. Такая модель позволяет не только закрепиться в системе, но и постепенно расширять контроль над заражённой средой.

Как развивалось заражение

Цепочка атаки началась в 17:11 UTC, когда был выполнен ClickFix-скрипт, извлечённый с поддельной страницы с CAPTCHA. Уже через минуту после этого было зафиксировано первое сообщение, связанное с Remcos RAT.

Дальнейшие этапы атаки были растянуты во времени:

• 17:16 UTC — начало post-infection traffic для NetSupport RAT;
• 18:18 UTC — подключение StealC;
• 19:36 UTC — активность Sectop RAT.

Такие задержки между фазами заражения указывают на стратегию, при которой вредоносные инструменты вводятся поэтапно. Это снижает заметность атаки и помогает злоумышленникам добиваться более глубокого проникновения в систему со временем.

Техническая инфраструктура кампании

В отчёте отдельно выделены конечные точки связи, через которые работали вредоносные компоненты. Использование различных C2-серверов подтверждает, что кампания построена как распределённая и адаптивная операция.

• Remcos RAT — 95.142.45.231 по HTTPS;
• NetSupport RAT — 185.163.47.220 по HTTPS;
• StealC — 89.46.38.100;
• Sectop RAT — 195.85.115.11, при этом используется port 9000.

По данным анализа, первоначальный доступ через Remcos RAT может служить отправной точкой для последующих вредоносных действий, включая развертывание других инструментов в той же инфраструктуре заражения.

Как работает ClickFix

Механизм ClickFix в этом случае использовался не только для запуска вредоносного кода, но и для извлечения вредоносных файлов. Среди них был отмечен HTA-файл с указанным SHA256-хэшем, который сохранялся в локальный каталог AppData пользователя, а затем удалялся после выполнения.

Отдельного внимания заслуживает способ внедрения нагрузки в систему. Пакеты для Remcos RAT и Sectop RAT используют легитимные исполняемые файлы и механизм DLL side-loading, чтобы скрытно внедрить вредоносный компонент в процесс работы системы.

Почему эта кампания представляет интерес

Исследование показывает, что SmartApeSG действует гибко и быстро адаптирует инструментарий. Имена файлов, адреса серверов и другие элементы инфраструктуры могут часто меняться, что затрудняет обнаружение и блокировку атаки.

Таким образом, кампания демонстрирует типичную для современных киберопераций модель:

• первичный доступ через социально-инженерный механизм;
• поэтапное развертывание нескольких вредоносных нагрузок;
• использование разных C2-каналов для отдельных компонентов;
• маскировку через легитимные файлы и DLL side-loading.

В совокупности это делает SmartApeSG одной из тех кампаний, где техническая вариативность и временное распределение атакующих действий играют ключевую роль в успешном закреплении в целевой среде.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.