SOC Prime Bias: Medio

06 May 2026 11:31 UTC

VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utiliza SimpleHelp y ScreenConnect Empaquetados con JWrapper para Acceso Remoto Silencioso

Author Photo
SOC Prime Team linkedin icon Seguir
VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utiliza SimpleHelp y ScreenConnect Empaquetados con JWrapper para Acceso Remoto Silencioso
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Una campaña de phishing ha estado utilizando un sitio web mexicano comprometido para distribuir un ejecutable empaquetado con JWrapper que instala las herramientas legítimas de gestión remota SimpleHelp y ScreenConnect. Aunque ambos binarios están firmados y normalmente son de confianza, los atacantes los abusan para obtener acceso remoto persistente y silencioso a través de servicios de Windows y modificaciones en el registro del Modo Seguro. Desde abril de 2025, la actividad ha impactado a más de 80 organizaciones en los Estados Unidos, Europa Occidental y América Latina. Aunque la atribución sigue siendo incierta, la campaña parece estar motivada financieramente.

Investigación

Securonix realizó un análisis dinámico del payload entregado y descubrió una configuración de acceso remoto de doble canal construida alrededor de SimpleHelp 5.0.1 y ConnectWise ScreenConnect. El malware se instala como un servicio de Windows, crea una entrada en el registro SafeBoot para sobrevivir a reinicios en Modo Seguro, y usa bucles de sondeo repetidos para identificar productos de seguridad instalados y determinar si hay un usuario presente en la máquina. Los investigadores también encontraron que un archivo renombrado wmic.exe.bak , se utilizó como parte de la cadena de ejecución para ayudar a eludir detecciones basadas en nombres.

Mitigación

Los equipos de seguridad deben monitorear la creación del Servicio de Acceso Remoto servicio de Windows, la entrada del registro SafeBoot asociada y la aparición de wmic.exe.bak dentro del directorio System32wbem . Las defensas de red deben bloquear el tráfico UDP saliente hacia 84.200.205.233:5555 y el tráfico TCP hacia sslzeromail.run.place:8041. Los defensores también deben eliminar el servicio malicioso y los archivos relacionados mientras buscan utilidades renombradas y otros artefactos vinculados a la intrusión.

Respuesta

Si se detecta esta actividad, aísle inmediatamente el sistema afectado, detenga y elimine el servicio malicioso, elimine la entrada del registro SafeBoot y elimine el directorio de instalación de JWrapper del host. Los investigadores deben luego realizar un análisis forense para determinar si ocurrió el movimiento lateral y actualizar la lógica de detección para capturar las cadenas de procesos y patrones de comando específicos vistos en la campaña. Los interesados relevantes deben ser informados, y se debe considerar una caza de amenazas más amplia para identificar víctimas adicionales.

Flujo de Ataque

Detecciones

Ejecutado Agente SimpleHelp desde JWrapper Directorio de Acceso Remoto (vía creación_de_proceso)

Equipo de SOC Prime
05 de mayo de 2026

Posible Enumeración de Software Antivirus o de Firewall (vía creación_de_proceso)

Equipo de SOC Prime
05 de mayo de 2026

Software Alternativo de Acceso/ Gestión Remota (vía creación_de_proceso)

Equipo de SOC Prime
05 de mayo de 2026

Intento de Uso Posible de Simple Help RMM (vía evento_de_archivo)

Equipo de SOC Prime
05 de mayo de 2026

IOCs (HashSha512) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

IOCs (HashSha256) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

IOCs (HashMd5) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

IOCs (SourceIP) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

IOCs (DestinationIP) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

Monitoreo de Actividad POTENCIAL de RAT por Renombrado wmic.exe y Comandos de Interfaz WiFi [Windows Sysmon]

Reglas de AI de SOC Prime
05 de mayo de 2026

Detección de Campaña de Phishing Dual-RMM Usando SimpleHelp y ScreenConnect [Creación de Procesos de Windows]

Reglas de AI de SOC Prime
05 de mayo de 2026

Ejecución de Simulación

Requisito previo: El chequeo preliminar de Telemetría & Línea de Base debe haber pasado.

Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque & Comandos:

    El atacante recibe un adjunto de phishing (T1566.001) que deja caer un payload malicioso llamado statement5648.exe en el %TEMP% directorio. Para evadir detección, el archivo está firmado con un certificado válido (código ofuscado – T1027) y se ejecuta como un servicio de Windows (T1543.003) para persistir. Debido a que el nombre del ejecutable coincide con uno de los sufijos de la regla, Sysmon registra un EventID 1 con Imagen terminando en statement5648.exe, lo que debería activar la regla de detección. El atacante también desactiva antivirus (T1562.009) e intenta una evasión de UAC (T1548.002) para obtener privilegios elevados.

  • Script de Prueba de Regresión:

    #------------------------------------------------------------
    # Simulación de Campaña de Phishing Dual‑RMM – activa regla Sigma
    #------------------------------------------------------------
    $payloadPath = "$env:TEMPstatement5648.exe"
    $serviceName = "DualRMMHelper"
    
    # 1. Dejar caer un ejecutable falso (copia de notepad.exe) y renombrarlo
    Write-Host "[*] Colocando payload disfrazado en $payloadPath"
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force
    
    # 2. Crear un servicio de Windows que ejecute el payload (persistencia)
    Write-Host "[*] Instalando servicio $serviceName"
    sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null
    
    # 3. Iniciar el servicio – esto genera un evento de creación de proceso Sysmon
    Write-Host "[*] Iniciando servicio $serviceName"
    sc.exe start $serviceName > $null
    
    # 4. OPCIONAL: Simular elusión de UAC / suplantación de token (sin operación de marcador de posición)
    #    En una ejecución de equipo rojo real, esto implicaría Invoke-BypassUAC o similar.
    Write-Host "[*] Simulación completa – revise SIEM para la detección."
    #------------------------------------------------------------
  • Comandos de Limpieza:

    #------------------------------------------------------------
    # Limpieza para simulación de Dual‑RMM
    #------------------------------------------------------------
    $serviceName = "DualRMMHelper"
    $payloadPath = "$env:TEMPstatement5648.exe"
    
    # Detener y eliminar el servicio
    sc.exe stop $serviceName > $null
    sc.exe delete $serviceName > $null
    
    # Eliminar el ejecutable falso
    Remove-Item -Path $payloadPath -Force
    
    Write-Host "[*] Limpieza completa."
    #------------------------------------------------------------