Complot ClickFix : Le pack RAT furtif de SmartApeSG s’infiltre via des attaques mises en scène

Par une soirée tranquille de mars, des internautes sans méfiance se sont retrouvés face à ce qui semblait être une page CAPTCHA ordinaire - un simple clic de plus parmi tant d’autres sollicitations numériques. Mais derrière cette façade familière se cachait un stratagème cybernétique rusé : la campagne ClickFix de SmartApeSG, une chaîne de malwares orchestrée avec minutie, délivrant non pas un, mais quatre chevaux de Troie d’accès à distance et stealers différents, dans une séquence strictement contrôlée. Le niveau de sophistication de cette campagne marque l’avènement d’une nouvelle ère d’attaques cybernétiques modulaires et multi-étapes, posant de nouveaux défis aux défenseurs et augmentant les enjeux pour les organisations du monde entier.

Au cœur de la campagne ClickFix : comment les attaquants déjouent les défenseurs

La campagne ClickFix de SmartApeSG, détectée pour la première fois le 24 mars 2026, illustre la complexité croissante des cyberattaques modernes. Plutôt que de se contenter d’un unique dépôt de malware, les attaquants enchaînent plusieurs charges utiles, chacune remplissant un rôle spécifique et déployée à des intervalles soigneusement planifiés. L’attaque débute par un site légitime compromis, qui redirige les visiteurs vers une fausse page CAPTCHA. Là, les victimes sont invitées à copier un script depuis leur presse-papiers et à l’exécuter - ouvrant sans le savoir la porte à une infection en plusieurs étapes.

La première charge utile - un script distant - télécharge un fichier HTA malveillant depuis un serveur distant, habilement déguisé et stocké dans le répertoire AppData de l’utilisateur. Non seulement ce fichier s’auto-supprime pour effacer toute trace forensique, mais il extrait également une archive ZIP se faisant passer pour un PDF, contenant le Remcos RAT. Au fil de la chronologie de l’infection, NetSupport RAT est lancé quelques minutes plus tard, suivi de StealC (un voleur de données et d’identifiants), puis enfin de Sectop RAT, chaque étape étendant la portée des attaquants.

Ce déploiement échelonné - Remcos à 17h12 UTC, NetSupport à 17h16, StealC à 18h18 et Sectop à 19h36 - suggère une volonté délibérée d’échapper à la surveillance de la sécurité. En étalant l’attaque dans le temps, les acteurs malveillants réduisent le risque d’une détection précoce et augmentent leurs chances d’obtenir un accès durable. De plus, la campagne utilise le side-loading de DLL, s’appuyant sur des exécutables de confiance pour faire passer du code malveillant à travers les contrôles de sécurité.

Pour les défenseurs, les implications sont claires : les méthodes de détection traditionnelles, axées sur une seule charge utile ou des indicateurs statiques, ne suffisent plus. L’infrastructure de la campagne SmartApeSG est hautement dynamique, avec des noms de fichiers, des empreintes et des domaines en constante évolution. Détecter uniquement le premier RAT peut laisser les organisations aveugles face à des charges ultérieures, potentiellement plus destructrices, arrivant plusieurs heures après.

Pour contrer ces menaces, les équipes de sécurité doivent adopter une approche en couches - surveiller les exécutions de scripts inhabituelles, analyser le trafic sortant à la recherche de signes de livraison échelonnée de charges utiles, et traquer les activités de side-loading de DLL. Ce n’est qu’en corrélant des événements apparemment sans lien dans le temps que les défenseurs pourront espérer révéler toute l’étendue de ces attaques modulaires et évolutives.

Conclusion : Le visage changeant des menaces cyber

La campagne ClickFix de SmartApeSG marque un tournant dans la stratégie des cybercriminels, qui passent d’attaques brutales à des opérations subtiles et étagées, mettant au défi même les défenseurs les plus aguerris. À mesure que les attaquants affinent leurs techniques, les organisations doivent rester vigilantes - non seulement au moment de l’infection initiale, mais tout au long du cycle de vie d’une intrusion. Dans ce nouveau paysage, le timing est crucial, et rater un seul indice peut permettre à une meute de RAT de se déchaîner dans votre réseau.

WIKICROOK

• Remote Access Trojan (RAT) : Un cheval de Troie d’accès à distance (RAT) est un malware qui permet aux attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
• DLL Side : Le side-loading de DLL est une technique où les attaquants trompent des programmes pour charger des fichiers DLL malveillants, contournant la sécurité et obtenant un accès ou un contrôle non autorisé.
• Fichier HTA : Les fichiers HTA sont des exécutables Windows contenant des scripts, souvent utilisés par les attaquants pour contourner la sécurité du navigateur et exécuter du code sur un système.
• Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
• Voleur d’identifiants : Un voleur d’identifiants est un malware conçu pour localiser et dérober des mots de passe, des clés numériques ou des jetons d’authentification sur l’ordinateur ou l’appareil d’une victime.