SOC Prime Bias: Medio

06 May 2026 14:31
newspaper icon Securonix

VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utiliza SimpleHelp y ScreenConnect Empaquetados con JWrapper para Acceso Remoto Silencioso

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utiliza SimpleHelp y ScreenConnect Empaquetados con JWrapper para Acceso Remoto Silencioso
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Una campaña de phishing ha estado utilizando un sitio web mexicano comprometido para distribuir un ejecutable empaquetado con JWrapper que instala las herramientas legítimas de gestión remota SimpleHelp y ScreenConnect. Aunque ambos binarios están firmados y normalmente son de confianza, los atacantes los abusan para obtener acceso remoto persistente y silencioso a través de servicios de Windows y modificaciones en el registro del Modo Seguro. Desde abril de 2025, la actividad ha impactado a más de 80 organizaciones en los Estados Unidos, Europa Occidental y América Latina. Aunque la atribución sigue siendo incierta, la campaña parece estar motivada financieramente.

Investigación

Securonix realizó un análisis dinámico del payload entregado y descubrió una configuración de acceso remoto de doble canal construida alrededor de SimpleHelp 5.0.1 y ConnectWise ScreenConnect. El malware se instala como un servicio de Windows, crea una entrada en el registro SafeBoot para sobrevivir a reinicios en Modo Seguro, y usa bucles de sondeo repetidos para identificar productos de seguridad instalados y determinar si hay un usuario presente en la máquina. Los investigadores también encontraron que un archivo renombrado wmic.exe.bak , se utilizó como parte de la cadena de ejecución para ayudar a eludir detecciones basadas en nombres.

Mitigación

Los equipos de seguridad deben monitorear la creación del Servicio de Acceso Remoto servicio de Windows, la entrada del registro SafeBoot asociada y la aparición de wmic.exe.bak dentro del directorio System32wbem . Las defensas de red deben bloquear el tráfico UDP saliente hacia 84.200.205.233:5555 y el tráfico TCP hacia sslzeromail.run.place:8041. Los defensores también deben eliminar el servicio malicioso y los archivos relacionados mientras buscan utilidades renombradas y otros artefactos vinculados a la intrusión.

Respuesta

Si se detecta esta actividad, aísle inmediatamente el sistema afectado, detenga y elimine el servicio malicioso, elimine la entrada del registro SafeBoot y elimine el directorio de instalación de JWrapper del host. Los investigadores deben luego realizar un análisis forense para determinar si ocurrió el movimiento lateral y actualizar la lógica de detección para capturar las cadenas de procesos y patrones de comando específicos vistos en la campaña. Los interesados relevantes deben ser informados, y se debe considerar una caza de amenazas más amplia para identificar víctimas adicionales.

graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation[«<b>Acción</b> – <b>T1656 Suplantación</b><br/>Suplantación de email de la SSA de EE. UU. para atraer a las víctimas»] class action_impersonation action action_phishing[«<b>Acción</b> – <b>T1566.001 Phishing</b><br/>Adjunto spearphishing con enlace a dominios mexicanos comprometidos»] class action_phishing action action_infra[«<b>Acción</b> – <b>T1584.001 Compromiso de Infraestructura</b><br/>Comprometen sitios legítimos .com.mx para alojar la página de destino y el payload»] class action_infra action action_execution[«<b>Acción</b> – Ejecución<br/>La víctima ejecuta statement5648.exe empaquetado con JWrapper que extrae la configuración, deja caer un JRE privado y lanza el payload Java»] class action_execution action action_uac[«<b>Acción</b> – <b>T1548.002 Elusión de UAC</b><br/>El aviso de UAC muestra al editor de SimpleHelp confiable permitiendo la instalación»] class action_uac action action_service[«<b>Acción</b> – <b>T1543.003 Crear o Modificar Proceso del Sistema</b><br/>Registra el servicio de Windows «Servicio de Acceso Remoto»»] class action_service action action_safemode[«<b>Acción</b> – <b>T1562.009 Arranque en Modo Seguro</b><br/>Agrega una clave en el registro bajo SafeBoot Network para persistencia del servicio»] class action_safemode action malware_simplehelp[«<b>Malware</b> – SimpleHelp 5.0.1 (crackeado)<br/>Herramienta de administración remota firmada por SimpleHelp»] class malware_simplehelp malware malware_screenconnect[«<b>Malware</b> – ConnectWise ScreenConnect (crackeado)<br/>Herramienta de administración remota firmada por ConnectWise»] class malware_screenconnect malware c2_simplehelp[«<b>C2</b> – UDP 84.200.205.233:5555<br/>Utilizado por SimpleHelp para baliza»] class c2_simplehelp c2 c2_screenconnect[«<b>C2</b> – TCP sslzeromail.run.place:8041<br/>Utilizado por el relé de ScreenConnect»] class c2_screenconnect c2 tool_sessionwin[«<b>Herramienta</b> – session_win.exe<br/>Roba el token de winlogon.exe para generar procesos en la sesión del usuario»] class tool_sessionwin tool tool_elevwin[«<b>Herramienta</b> – elev_win.exe<br/>Crea procesos con CreateProcessAsUserW usando el token robado»] class tool_elevwin tool process_netsh[«<b>Proceso</b> – netsh wlan mostrar interfaces<br/>Ejecuta cada ~15 s para descubrir la configuración de la red»] class process_netsh process process_wmic[«<b>Proceso</b> – wmic.exe.bak consultar SecurityCenter2<br/>Ejecuta cada ~67 s para descubrir productos de AV/Firewall»] class process_wmic process action_masquerade[«<b>Acción</b> – <b>T1036.003 Mascarada</b><br/>Renombra wmic.exe a wmic.exe.bak para ocultar la utilidad»] class action_masquerade action action_dynamic[«<b>Acción</b> – <b>T1568 Resolución Dinámica</b><br/>Recoge información de la interfaz para adaptar los extremos C2»] class action_dynamic action %% Flow Connections action_impersonation –>|conduce_a| action_phishing action_phishing –>|usa| action_infra action_infra –>|alberga| action_execution action_execution –>|desencadena| action_uac action_uac –>|habilita| action_service action_service –>|agrega| action_safemode action_safemode –>|apoya| malware_simplehelp malware_simplehelp –>|comunica con| c2_simplehelp malware_screenconnect –>|comunica con| c2_screenconnect malware_simplehelp –>|installa| tool_sessionwin malware_screenconnect –>|installa| tool_elevwin tool_sessionwin –>|realiza| action_masquerade tool_elevwin –>|ejecuta| process_netsh process_netsh –>|alimenta| action_dynamic process_wmic –>|alimenta| action_dynamic action_dynamic –>|informa| c2_screenconnect action_dynamic –>|informa| c2_simplehelp tool_sessionwin –>|realiza| action_masquerade process_wmic –>|realiza| action_masquerade %% Class Assignments class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Flujo de Ataque

Detecciones

Ejecutado Agente SimpleHelp desde JWrapper Directorio de Acceso Remoto (vía creación_de_proceso)

Equipo de SOC Prime
05 de mayo de 2026

Ver

Posible Enumeración de Software Antivirus o de Firewall (vía creación_de_proceso)

Equipo de SOC Prime
05 de mayo de 2026

Ver

Software Alternativo de Acceso/ Gestión Remota (vía creación_de_proceso)

Equipo de SOC Prime
05 de mayo de 2026

Ver

Intento de Uso Posible de Simple Help RMM (vía evento_de_archivo)

Equipo de SOC Prime
05 de mayo de 2026

Ver

IOCs (HashSha512) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

Ver

IOCs (HashSha256) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

Ver

IOCs (HashMd5) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

Ver

IOCs (SourceIP) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

Ver

IOCs (DestinationIP) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso

Reglas de AI de SOC Prime
05 de mayo de 2026

Ver

Monitoreo de Actividad POTENCIAL de RAT por Renombrado wmic.exe y Comandos de Interfaz WiFi [Windows Sysmon]

Reglas de AI de SOC Prime
05 de mayo de 2026

Ver

Detección de Campaña de Phishing Dual-RMM Usando SimpleHelp y ScreenConnect [Creación de Procesos de Windows]

Reglas de AI de SOC Prime
05 de mayo de 2026

Ver

Ejecución de Simulación

Requisito previo: El chequeo preliminar de Telemetría & Línea de Base debe haber pasado.

Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque & Comandos:

    El atacante recibe un adjunto de phishing (T1566.001) que deja caer un payload malicioso llamado statement5648.exe en el %TEMP% directorio. Para evadir detección, el archivo está firmado con un certificado válido (código ofuscado – T1027) y se ejecuta como un servicio de Windows (T1543.003) para persistir. Debido a que el nombre del ejecutable coincide con uno de los sufijos de la regla, Sysmon registra un EventID 1 con Imagen terminando en statement5648.exe, lo que debería activar la regla de detección. El atacante también desactiva antivirus (T1562.009) e intenta una evasión de UAC (T1548.002) para obtener privilegios elevados.

  • Script de Prueba de Regresión:

    #------------------------------------------------------------
# Simulación de Campaña de Phishing Dual‑RMM – activa regla Sigma
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Dejar caer un ejecutable falso (copia de notepad.exe) y renombrarlo
Write-Host "[*] Colocando payload disfrazado en $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Crear un servicio de Windows que ejecute el payload (persistencia)
Write-Host "[*] Instalando servicio $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Iniciar el servicio – esto genera un evento de creación de proceso Sysmon
Write-Host "[*] Iniciando servicio $serviceName"
sc.exe start $serviceName > $null

# 4. OPCIONAL: Simular elusión de UAC / suplantación de token (sin operación de marcador de posición)
#    En una ejecución de equipo rojo real, esto implicaría Invoke-BypassUAC o similar.
Write-Host "[*] Simulación completa – revise SIEM para la detección."
#------------------------------------------------------------

  • Comandos de Limpieza:

    #------------------------------------------------------------
# Limpieza para simulación de Dual‑RMM
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Detener y eliminar el servicio
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Eliminar el ejecutable falso
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Limpieza completa."
#------------------------------------------------------------

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis