Eine aktive Phishing-Kampagne zielt seit mindestens April 2025 über mehrere Vektoren hinweg auf Organisationen ab, wobei legitime Remote Monitoring and Management (RMM)-Software zur Etablierung eines persistenten Fernzugriffs auf kompromittierte Hosts genutzt wird. Die Aktivität mit dem Codenamen **VENOMOUS#HELPER** hat laut **Securonix** über 80 Organisationen beeinträchtigt, von denen die meisten in den USA ansässig sind. Sie weist Überschneidungen mit Clustern auf, die zuvor von **Red Canary** und **Sophos** verfolgt wurden, wobei letztere ihr den Spitznamen STAC6405 gegeben haben. Obwohl nicht klar ist, wer hinter der Kampagne steckt, sagte das Cybersicherheitsunternehmen, dass sie mit einem finanziell motivierten Initial Access Broker (IAB) oder einer Vorläuferoperation für Ransomware übereinstimmt. "In diesem Fall werden angepasste **SimpleHelp** und **ScreenConnect** RMMs verwendet, um Abwehrmaßnahmen zu umgehen, da sie von den ahnungslosen Opfern legitim installiert werden", sagten die Forscher Akshay Gaikwad, Shikha Sangwan und Aaron Beardslee in einem Bericht, der mit The Hacker News geteilt wurde. Abgesehen von der Tatsache, dass die Verwendung legitimer RMM-Tools Erkennungsmaßnahmen umgehen kann, deutet die Bereitstellung von sowohl **SimpleHelp** als auch **ScreenConnect** auf den Versuch hin, eine "redundante Dual-Channel-Zugriffsarchitektur" zu schaffen, die den fortgesetzten Betrieb ermöglicht, selbst wenn einer von ihnen erkannt und blockiert wird. ### Phishing-Köder und initiale Kompromittierung Alles beginnt mit einer Phishing-E-Mail, die sich als die US-amerikanische **Social Security Administration (SSA)** ausgibt, bei der der Empfänger aufgefordert wird, seine E-Mail-Adresse zu verifizieren und eine angebliche SSA-Erklärung herunterzuladen, indem er auf einen in der Nachricht eingebetteten Link klickt. Der Link verweist auf eine legitime, aber kompromittierte mexikanische Geschäftswebsite ("gruta.com[.]mx"), was auf eine bewusste Strategie zur Umgehung von E-Mail-Spamfiltern hindeutet.  Die "SSA-Erklärung" wird dann von einer zweiten, vom Angreifer kontrollierten Domain ("server.cubatiendaalimentos.com[.]mx") heruntergeladen, eine ausführbare Datei, die für die Bereitstellung des **SimpleHelp** RMM-Tools verantwortlich ist. Es wird angenommen, dass der Angreifer Zugriff auf ein einzelnes cPanel-Benutzerkonto auf dem legitimen Hosting-Server erlangt hat, um die Binärdatei zu platzieren. ### RMM-Bereitstellung und Privilegieneskalation Sobald das Opfer die JWrapper-verpackte Windows-Executable öffnet und sie für ein Dokument hält, installiert sich die Malware als Windows-Dienst mit Safe Mode-Persistenz, stellt sicher, dass sie durch einen "Self-Healing Watchdog" läuft, der sie automatisch neu startet, wenn sie beendet wird, und zählt periodisch registrierte Sicherheitsprodukte über den WMI-Namespace root\SecurityCenter2 alle 67 Sekunden auf und fragt alle 23 Sekunden die Benutzerpräsenz ab.  Um einen vollständig interaktiven Desktop-Zugriff zu ermöglichen, erwirbt der **SimpleHelp** Remote-Access-Client SeDebugPrivilege über AdjustTokenPrivileges, während "elev_win.exe" – eine legitime ausführbare Datei, die mit der Software verbunden ist – verwendet wird, um SYSTEM-Level-Privilegien zu erlangen. Dies wiederum ermöglicht es dem Betreiber, den Bildschirm zu lesen, Tastatureingaben einzuschleusen und auf Ressourcen im Benutzerskontext zuzugreifen. Dieser erhöhte Fernzugriff wird dann missbraucht, um **ConnectWise ScreenConnect** herunterzuladen und zu installieren, was einen Fallback-Kommunikationsmechanismus bietet, falls der **SimpleHelp**-Kanal abgeschaltet wird. "Die bereitgestellte **SimpleHelp**-Version (5.0.1) bietet einen umfassenden Satz an Fernadministrationsfähigkeiten", sagten die Forscher. "Die betroffene Organisation befindet sich in einem Zustand, in dem der Angreifer jederzeit zurückkehren, Befehle lautlos in der Desktop-Sitzung des Benutzers ausführen, Dateien bidirektional übertragen und zu benachbarten Systemen pivotieren kann, während Standard-Antivirus- und signaturbasierte Kontrollen nichts anderes als legitim signierte Software eines seriösen britischen Anbieters sehen."