Une campagne de phishing active est observée depuis au moins avril 2025, ciblant plusieurs vecteurs en utilisant des logiciels légitimes de surveillance et de gestion à distance (RMM) comme moyen d'établir un accès distant persistant aux hôtes compromis. L'activité, nommée **VENOMOUS#HELPER**, a touché plus de 80 organisations, dont la plupart se trouvent aux États-Unis, selon **Securonix**. Elle présente des recoupements avec des clusters précédemment suivis par **Red Canary** et **Sophos**, ce dernier lui ayant donné le surnom de STAC6405. Bien que l'on ne sache pas qui est à l'origine de la campagne, la société de cybersécurité a déclaré qu'elle correspondait à un courtier d'accès initial (IAB) motivé par l'argent ou à une opération précurseur de ransomware. « Dans ce cas, des RMM **SimpleHelp** et **ScreenConnect** personnalisés sont utilisés pour contourner les défenses car ils sont légitimement installés par la victime inconsciente », ont déclaré les chercheurs Akshay Gaikwad, Shikha Sangwan et Aaron Beardslee dans un rapport partagé avec The Hacker News. Outre le fait que l'utilisation d'outils RMM légitimes peut échapper à la détection, le déploiement de **SimpleHelp** et **ScreenConnect** indique une tentative de créer une « architecture d'accès double canal redondante » qui permet de poursuivre les opérations même si l'un d'eux est détecté et bloqué. ### Leurre de phishing et compromission initiale Tout commence par un e-mail de phishing se faisant passer pour la **Social Security Administration (SSA)** des États-Unis, où le destinataire est invité à vérifier son adresse e-mail et à télécharger une prétendue déclaration de la SSA en cliquant sur un lien intégré dans le message. Le lien pointe vers un site Web d'entreprise mexicain légitime mais compromis ("gruta.com[.]mx"), indiquant une stratégie délibérée pour échapper aux filtres anti-spam.  La « déclaration de la SSA » est ensuite téléchargée à partir d'un deuxième domaine contrôlé par l'attaquant ("server.cubatiendaalimentos.com[.]mx"), un exécutable responsable de la livraison de l'outil RMM **SimpleHelp**. On pense que l'attaquant a obtenu l'accès à un seul compte utilisateur cPanel sur le serveur d'hébergement légitime pour y déposer le binaire. ### Déploiement RMM et escalade de privilèges Dès que la victime ouvre l'exécutable Windows empaqueté par JWrapper, pensant qu'il s'agit d'un document, le malware s'installe en tant que service Windows avec persistance en mode sans échec, s'assure qu'il est en cours d'exécution au moyen d'un « chien de garde auto-réparateur » qui le redémarre automatiquement lorsqu'il est arrêté, et énumère périodiquement les produits de sécurité enregistrés à l'aide de l'espace de noms WMI root\SecurityCenter2 toutes les 67 secondes, et interroge la présence de l'utilisateur toutes les 23 secondes.  Pour faciliter un accès bureau entièrement interactif, le client d'accès à distance **SimpleHelp** acquiert SeDebugPrivilege via AdjustTokenPrivileges, tandis que "elev_win.exe" – un fichier exécutable légitime associé au logiciel – est utilisé pour obtenir des privilèges de niveau SYSTEM. Cela permet à l'opérateur de lire l'écran, d'injecter des frappes au clavier et d'accéder aux ressources du contexte utilisateur. Cet accès à distance élevé est ensuite abusé pour télécharger et installer **ConnectWise ScreenConnect**, offrant un mécanisme de communication de secours si le canal **SimpleHelp** est désactivé. « La version **SimpleHelp** déployée (5.0.1) fournit un ensemble complet de capacités d'administration à distance », ont déclaré les chercheurs. « L'organisation victime se retrouve dans une situation où l'attaquant peut revenir à tout moment, exécuter des commandes silencieusement dans la session de bureau de l'utilisateur, transférer des fichiers bidirectionnellement et pivoter vers des systèmes adjacents, tandis que les contrôles antivirus standard et basés sur les signatures ne voient que des logiciels signés légitimement par un fournisseur britannique réputé. »