Se ha observado una campaña activa de phishing dirigida a múltiples vectores desde al menos abril de 2025, con software legítimo de administración y monitoreo remoto (RMM) como una forma de establecer un acceso remoto persistente a los hosts comprometidos.
La actividad, cuyo nombre en clave VENENOSO#AYUDANTEha impactado a más de 80 organizaciones, la mayoría de las cuales están en EE. UU., según Securonix. Comparte superposiciones con grupos previamente rastreados por Red Canary y Sophos, el último de los cuales le ha dado el apodo de STAC6405. Si bien no está claro quién está detrás de la campaña, la compañía de ciberseguridad dijo que se alinea con un corredor de acceso inicial (IAB) con motivación financiera o una operación precursora de ransomware.
«En este caso, se utilizan RMM SimpleHelp y ScreenConnect personalizados para evitar las defensas, ya que la víctima desprevenida las instala legítimamente», dijeron los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe compartido con The Hacker News.
Dejando de lado el hecho de que el uso de herramientas RMM legítimas puede evadir la detección, la implementación de SimpleHelp y ScreenConnect indica un intento de crear una «arquitectura de acceso redundante de doble canal» que permita operaciones continuas incluso cuando cualquiera de ellos sea detectado y bloqueado.
Todo comienza con un correo electrónico de phishing que se hace pasar por la Administración de la Seguridad Social (SSA) de EE. UU., donde se le indica al destinatario que verifique su dirección de correo electrónico y descargue una supuesta declaración de la SSA haciendo clic en un enlace incrustado en el mensaje. El enlace apunta a un sitio web empresarial mexicano legítimo pero comprometido («gruta.com(.)mx»), lo que indica una estrategia deliberada para evadir los filtros de spam de correo electrónico.
Luego, la «declaración SSA» se descarga desde un segundo dominio controlado por el atacante («server.cubatiendaalimentos.com(.)mx»), un ejecutable que es responsable de entregar la herramienta SimpleHelp RMM. Se cree que el atacante obtuvo acceso a una única cuenta de usuario de cPanel en el servidor de alojamiento legítimo para preparar el binario.
Tan pronto como la víctima abre el ejecutable de Windows empaquetado con JWrapper, pensando que es un documento, el malware se instala como un servicio de Windows con persistencia en modo seguro, se asegura de que se esté ejecutando mediante un «vigilante autorreparable» que lo reinicia automáticamente cuando se elimina, y enumera periódicamente los productos de seguridad registrados usando el espacio de nombres WMI rootSecurityCenter2 cada 67 segundos, y sondea la presencia del usuario cada 23 segundos.
Para facilitar el acceso al escritorio totalmente interactivo, el cliente de acceso remoto SimpleHelp adquiere SeDebugPrivilege a través de AdjustTokenPrivileges, mientras que «elev_win.exe», un archivo ejecutable legítimo asociado con el software, se utiliza para obtener privilegios a nivel de SISTEMA. Esto, a su vez, permite al operador leer la pantalla, inyectar pulsaciones de teclas y acceder a recursos del contexto del usuario.
Luego se abusa de este acceso remoto elevado para descargar e instalar ConnectWise ScreenConnect, que ofrece un mecanismo de comunicación alternativo si se elimina el canal SimpleHelp.
«La versión implementada de SimpleHelp (5.0.1) proporciona un conjunto integral de capacidades de administración remota», dijeron los investigadores. «La organización víctima queda en un estado en el que el atacante puede regresar en cualquier momento, ejecutar comandos silenciosamente en la sesión de escritorio del usuario, transferir archivos bidireccionalmente y pasar a sistemas adyacentes, mientras que los antivirus estándar y los controles basados en firmas no ven nada más que software legítimamente firmado por un proveedor acreditado del Reino Unido».
