🗓️ Contexte
Source : Zscaler ThreatLabz via Cyber Security News, publié le 19 juin 2026. L’activité malveillante a été détectée pour la première fois le 14 mai 2026, lors d’un pic inhabituel de trafic lié au groupe SmartApeSG.
🎯 Nature de l’attaque
Il s’agit d’une attaque de chaîne d’approvisionnement (supply chain attack) : les attaquants ont compromis le script JavaScript du widget Okendo Reviews, un outil tiers de gestion d’avis clients utilisé par plus de 18 000 marques dans le monde. En ciblant ce widget plutôt que chaque site individuellement, les attaquants ont maximisé leur portée sans avoir à compromettre chaque site séparément.
🔬 Déroulement technique
Le script malveillant opérait comme un loader par étapes :
- Utilisation du localStorage du navigateur pour éviter les exécutions répétées sur un même appareil
- Filtrage via le User-Agent pour cibler uniquement les utilisateurs desktop (Windows)
- Décodage XOR pour reconstruire une URL cachée et charger le script de l’étape suivante
- Affichage d’une fausse page CAPTCHA (technique ClickFix) invitant la victime à ouvrir le menu Exécuter de Windows et coller une commande copiée silencieusement dans le presse-papiers
- Téléchargement d’un script PowerShell ou fichier HTA installant un outil d’accès distant ou un infostealer
📊 Ampleur et impact
- Près de 15 000 blocages enregistrés par Zscaler en une seule journée (14 mai 2026)
- Sites affectés recevant entre 150 000 et plusieurs millions de visiteurs mensuels
- Une marque de retail américaine impactée comptabilise à elle seule ~7 millions de visiteurs/mois
- Okendo a été notifié par ThreatLabz et a restauré le script dans un état propre
👤 Acteur de la menace
SmartApeSG (également connu sous les noms ZPHP et HANEYMANEY) est un groupe cybercriminel connu, précédemment associé à la distribution de NetSupport RAT, Remcos RAT, StealC et Sectop RAT.
📄 Type d’article
Analyse technique d’une campagne active, basée sur un rapport de recherche de Zscaler ThreatLabz, visant à documenter les TTPs et les IoCs de la campagne SmartApeSG pour les équipes CTI et SOC.
🧠 TTPs et IOCs détectés
Acteurs de menace
- SmartApeSG (cybercriminal) —
TTP
- T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1204.002 — User Execution: Malicious File (Execution)
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1218.005 — System Binary Proxy Execution: Mshta (Defense Evasion)
- T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1113 — Screen Capture (Collection)
IOC
- Domaines :
cdn-static.okendo.io— VT · URLhaus · ThreatFox - Domaines :
api.wigetticks.com— VT · URLhaus · ThreatFox - Domaines :
api.wizzleticks.com— VT · URLhaus · ThreatFox - URLs :
http://cdn-static.okendo.io/reviews-widget-plus/js/okendo-reviews.js— URLhaus - URLs :
https://api.wigetticks.com/logout/private-response.php?8D1V4th3— URLhaus - URLs :
https://api.wizzleticks.com/claims/scope-schema.php?4ManBBdA— URLhaus
Malware / Outils
- NetSupport RAT (rat)
- Remcos RAT (rat)
- StealC (stealer)
- Sectop RAT (rat)
🟢 Indice de vérification factuelle : 87/100 (haute)
- ✅ cryptika.com — source reconnue (Rösti community) (20pts)
- ✅ 5571 chars — texte complet (fulltext extrait) (15pts)
- ✅ 6 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 2/6 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (12pts)
- ✅ 10 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : SmartApeSG (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
api.wigetticks.com(domain) → VT (4/91 détections)api.wizzleticks.com(domain) → VT (4/91 détections)
🔗 Source originale : https://www.cryptika.com/hackers-abuse-third-party-okendo-reviews-script-to-spread-smartapesg-malware-campaign/