SOC Prime Bias: Medio

27 Mar 2026 13:33 UTC

La campaña SmartApeSG impulsa Remcos RAT, NetSupport RAT, StealC y Sectop RAT (ArechClient2)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
La campaña SmartApeSG impulsa Remcos RAT, NetSupport RAT, StealC y Sectop RAT (ArechClient2)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

La campaña SmartApeSG se basa en una página de CAPTCHA falsa combinada con un script ClickFix para distribuir varias amenazas de acceso remoto, incluidas Remcos RAT, NetSupport RAT, StealC y Sectop RAT. El compromiso inicial pone en marcha una cadena de infección en etapas en la que cada carga útil se comunica con su propio servidor de comando y control. La entrega se realiza a través de archivos comprimidos que abusan del DLL side-loading para ejecutar el malware. El informe también incluye indicadores de apoyo como dominios, direcciones IP, rutas de archivos y hashes de archivos.

Investigación

El analista registró por primera vez tráfico del script ClickFix a las 17:11 UTC, y las comunicaciones de Remcos RAT comenzaron un minuto después a las 17:12 UTC. El tráfico de NetSupport RAT apareció cuatro minutos después de eso, StealC se observó aproximadamente una hora después, y Sectop RAT surgió aproximadamente una hora y dieciocho minutos después de StealC. Los investigadores recuperaron artefactos de archivos tanto de directorios de usuario como de sistema y los relacionaron con los archivos maliciosos específicos utilizados en la cadena.

Mitigación

Los defensores deben bloquear los dominios y direcciones IP maliciosos conocidos, al tiempo que vigilan la ejecución de archivos HTA y la extracción sospechosa de archivos comprimidos en las rutas de perfil de usuario. Las protecciones de navegador y correo electrónico deben reforzarse para reducir la exposición a click-jacking y la entrega de CAPTCHA falsas. Las reglas de detección en el endpoint también deben ser ajustadas para identificar el comportamiento de DLL side-loading y procesos RAT inesperados.

Respuesta

Si se encuentran algunos de los indicadores listados, aísle el host afectado, detenga los procesos maliciosos y recoja imágenes de memoria y disco para un análisis forense. Realice un barrido amplio de IOCs en todo el entorno, actualice los controles de firewall para bloquear los endpoints C2 identificados y restablezca cualquier credencial potencialmente comprometida.

Flujo de Ataque

Ejecución de Simulación

Requisito Previo: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntan a generar la telemetría exacta esperada por la lógica de detección.

Narrativa de Ataque y Comandos

El adversario, habiendo ganado un punto de apoyo en la estación de trabajo de la víctima, lanza el componente Remcos RAT de la campaña SmartApeSG. El RAT está configurado para usar 95.142.45.231:443 como su endpoint C2 principal. Primero resuelve el dominio embebido fresicrto.top (alternativa) y luego abre un túnel HTTPS persistente a la dirección IP. El tráfico es generado por remcos.exe vía la API WinHTTP de Windows, que produce un evento Sysmon NetworkConnect y una entrada en el registro del Firewall de Windows.

Pasos:

  1. Soltar el binario del RAT (remcos.exe) a %TEMP%.
  2. Ejecutar el binario con el argumento C2 -c 95.142.45.231:443.
  3. Verificar la conexión saliente (vía netstat).

Estas acciones se mapean a T1102 (Servicio Web) para la comunicación C2 y T1584.001 (Adquisición de dominio) ya que el dominio es parte de la carga útil.

Script de Prueba de Regresión

# --------------------------------------------------------------
# Simulación de C2 de SmartApeSG – activa la regla de detección
# --------------------------------------------------------------

# 1. Escribir un stub minimalista similar a Remcos (para demostrar, usar PowerShell para abrir TCP)
$c2Ip   = "95.142.45.231"
$c2Port = 443
$payloadFile = "$env:TEMPremcos_stub.exe"

# Crear un ejecutable .NET simple que abre una conexión TCP (simula RAT)
Add-Type -TypeDefinition @"
using System;
using System.Net.Sockets;
public class Stub {
    public static void Main(string[] args) {
        try {
            var client = new TcpClient();
            client.Connect("$c2Ip", $c2Port);
            System.Threading.Thread.Sleep(5000); // mantener la conexión viva
            client.Close();
        } catch (Exception ex) {
            Console.Error.WriteLine(ex.Message);
        }
    }
}
"@ -OutputAssembly $payloadFile -CompilerOptions "/target:exe"

# 2. Ejecutar el stub (esto genera la conexión de red)
Start-Process -FilePath $payloadFile -WindowStyle Hidden

# 3. Opcional: Resolver el dominio alternativo para demostrar actividad DNS
Resolve-DnsName -Name "fresicrto.top" -Type A | Out-Null

# 4. Pausa para observación
Start-Sleep -Seconds 10

# 5. Limpieza – matar el stub si aún está corriendo
Get-Process -Name "remcos_stub" -ErrorAction SilentlyContinue | Stop-Process -Force
Remove-Item -Path $payloadFile -Force

Comandos de Limpieza

# Terminar cualquier conexión persistente del stub
Get-NetTCPConnection -RemotePort 443 -RemoteAddress 95.142.45.231 -State Established |
    ForEach-Object { Stop-Process -Id $_.OwningProcess -Force }

# Eliminar archivos temporales (ya hecho en el script, pero asegure un estado limpio)
Remove-Item -Path "$env:TEMPremcos_stub.exe" -ErrorAction SilentlyContinue