Uma campanha de phishing ativa tem sido observada visando múltiplos vetores desde pelo menos abril de 2025, utilizando software legítimo de Monitoramento e Gerenciamento Remoto (RMM) como forma de estabelecer acesso remoto persistente a hosts comprometidos. A atividade, codinome **VENOMOUS#HELPER**, impactou mais de 80 organizações, a maioria delas nos EUA, de acordo com a **Securonix**. Ela compartilha sobreposições com clusters rastreados anteriormente pela **Red Canary** e **Sophos**, sendo que esta última a apelidou de STAC6405. Embora não esteja claro quem está por trás da campanha, a empresa de cibersegurança disse que ela se alinha com um Initial Access Broker (IAB) com motivação financeira ou uma operação precursora de ransomware. "Neste caso, RMMs customizados de **SimpleHelp** e **ScreenConnect** são usados para contornar defesas, pois são legitimamente instalados pela vítima desavisada", disseram os pesquisadores Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee em um relatório compartilhado com The Hacker News. Deixando de lado o fato de que o uso de ferramentas RMM legítimas pode evadir a detecção, a implantação de **SimpleHelp** e **ScreenConnect** indica uma tentativa de criar uma "arquitetura de acesso dual-channel redundante" que permite operações contínuas mesmo quando uma delas é detectada e bloqueada. ### Isca de Phishing e Comprometimento Inicial Tudo começa com um e-mail de phishing que se passa pela **Social Security Administration (SSA)** dos EUA, onde o destinatário é instruído a verificar seu endereço de e-mail e baixar uma suposta declaração da SSA clicando em um link incorporado na mensagem. O link aponta para um site de negócios mexicano legítimo, mas comprometido ("gruta.com[.]mx"), indicando uma estratégia deliberada para evadir filtros de spam de e-mail.  A "declaração da SSA" é então baixada de um segundo domínio controlado pelo atacante ("server.cubatiendaalimentos.com[.]mx"), um executável responsável por entregar a ferramenta RMM **SimpleHelp**. Acredita-se que o atacante obteve acesso a uma única conta de usuário cPanel no servidor de hospedagem legítimo para hospedar o binário. ### Implantação de RMM e Escalação de Privilégios Assim que a vítima abre o executável do Windows empacotado em JWrapper, pensando que é um documento, o malware se instala como um serviço do Windows com persistência no Modo de Segurança, garante que está em execução por meio de um "watchdog de autocura" que o reinicia automaticamente quando é encerrado, e periodicamente enumera produtos de segurança registrados usando o namespace WMI root\SecurityCenter2 a cada 67 segundos, e verifica a presença do usuário a cada 23 segundos.  Para facilitar o acesso interativo completo à área de trabalho, o cliente de acesso remoto **SimpleHelp** adquire SeDebugPrivilege via AdjustTokenPrivileges, enquanto "elev_win.exe" – um arquivo executável legítimo associado ao software – é usado para obter privilégios de nível SYSTEM. Isso, por sua vez, permite que o operador leia a tela, injete pressionamentos de tecla e acesse recursos no contexto do usuário. Este acesso remoto elevado é então abusado para baixar e instalar o **ConnectWise ScreenConnect**, oferecendo um mecanismo de comunicação de fallback caso o canal **SimpleHelp** seja desativado. "A versão **SimpleHelp** implantada (5.0.1) fornece um conjunto abrangente de recursos de administração remota", disseram os pesquisadores. "A organização vítima fica em um estado onde o atacante pode retornar a qualquer momento, executar comandos silenciosamente na sessão da área de trabalho do usuário, transferir arquivos bidirecionalmente e fazer pivô para sistemas adjacentes, enquanto o antivírus padrão e os controles baseados em assinatura não veem nada além de software assinado legitimamente por um fornecedor respeitável do Reino Unido."