Se ha observado una campaña activa de phishing dirigida a múltiples vectores desde al menos abril de 2025, utilizando software legítimo de Monitoreo y Administración Remota (RMM) como forma de establecer acceso remoto persistente a hosts comprometidos. La actividad, con nombre en clave **VENOMOUS#HELPER**, ha afectado a más de 80 organizaciones, la mayoría de las cuales se encuentran en EE. UU., según **Securonix**. Comparte solapamientos con clústeres rastreados previamente por **Red Canary** y **Sophos**, siendo esta última la que le ha dado el apodo STAC6405. Si bien no está claro quién está detrás de la campaña, la empresa de ciberseguridad dijo que se alinea con un Broker de Acceso Inicial (IAB) con motivaciones financieras o una operación precursora de ransomware. "En este caso, se utilizan RMM personalizados de **SimpleHelp** y **ScreenConnect** para eludir las defensas, ya que son instalados legítimamente por la víctima desprevenida", dijeron los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe compartido con The Hacker News. Dejando de lado el hecho de que el uso de herramientas RMM legítimas puede evadir la detección, el despliegue de **SimpleHelp** y **ScreenConnect** indica un intento de crear una "arquitectura de acceso dual redundante" que permite operaciones continuas incluso si alguna de ellas es detectada y bloqueada. ### Señuelo de Phishing y Compromiso Inicial Todo comienza con un correo electrónico de phishing que se hace pasar por la **Administración de Seguridad Social (SSA)** de EE. UU., donde se instruye al destinatario a verificar su dirección de correo electrónico y descargar una supuesta declaración de la SSA haciendo clic en un enlace incrustado en el mensaje. El enlace apunta a un sitio web de negocios mexicano legítimo pero comprometido ("gruta.com[.]mx"), lo que indica una estrategia deliberada para evadir los filtros de spam de correo electrónico.  La "declaración de la SSA" se descarga luego de un segundo dominio controlado por el atacante ("server.cubatiendaalimentos.com[.]mx"), un ejecutable que es responsable de entregar la herramienta RMM **SimpleHelp**. Se cree que el atacante obtuvo acceso a una sola cuenta de usuario de cPanel en el servidor de alojamiento legítimo para alojar el binario. ### Despliegue de RMM y Escalada de Privilegios Tan pronto como la víctima abre el ejecutable de Windows empaquetado con JWrapper, pensando que es un documento, el malware se instala como un servicio de Windows con persistencia en Modo Seguro, se asegura de que se esté ejecutando mediante un "vigilante de autocuración" que lo reinicia automáticamente cuando se cierra, y enumera periódicamente los productos de seguridad registrados utilizando el espacio de nombres WMI root\SecurityCenter2 cada 67 segundos, y sondea la presencia del usuario cada 23 segundos.  Para facilitar el acceso completo al escritorio interactivo, el cliente de acceso remoto **SimpleHelp** adquiere SeDebugPrivilege a través de AdjustTokenPrivileges, mientras que "elev_win.exe" – un archivo ejecutable legítimo asociado con el software – se utiliza para obtener privilegios de nivel SYSTEM. Esto, a su vez, permite al operador leer la pantalla, inyectar pulsaciones de teclas y acceder a recursos en el contexto del usuario. Este acceso remoto elevado se abusa luego para descargar e instalar **ConnectWise ScreenConnect**, ofreciendo un mecanismo de comunicación de respaldo si el canal **SimpleHelp** es desmantelado. "La versión desplegada de **SimpleHelp** (5.0.1) proporciona un conjunto integral de capacidades de administración remota", dijeron los investigadores. "La organización víctima queda en un estado en el que el atacante puede regresar en cualquier momento, ejecutar comandos silenciosamente en la sesión de escritorio del usuario, transferir archivos bidireccionalmente y pivotar a sistemas adyacentes, mientras que el antivirus estándar y los controles basados en firmas no ven nada más que software firmado legítimamente por un proveedor de confianza del Reino Unido."