SOC Prime Bias: Alto

12 Feb 2026 18:45
newspaper icon Huntress

Software de Monitoreo de Empleados y SimpleHelp Abusado en Operaciones de Ransomware

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
Software de Monitoreo de Empleados y SimpleHelp Abusado en Operaciones de Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Los actores de amenazas abusaron de Net Monitor para Empleados y la plataforma de administración remota SimpleHelp para mantener un acceso persistente a las redes de las víctimas. Al operar a través de herramientas comerciales legítimas, los intrusos se mezclaron mientras descargaban cargas útiles adicionales e intentaban desplegar el ransomware Crazy (una variante de VoidCrypt). La infraestructura superpuesta—dominios y direcciones IP de C2 compartidos—sugiere el mismo operador en ambos incidentes. La actividad fue impulsada por el lucro, combinando el monitoreo de robo de credenciales/cripto con intentos de extorsión mediante ransomware.

Investigación

Huntress documentó dos intrusiones a principios de 2026 donde Net Monitor para Empleados permitió la capacidad de shell inverso y suplantación de servicios, mientras que SimpleHelp proporcionó persistencia de respaldo. Los analistas observaron una descarga de vhost.exe renombrada, la ejecución de winpty-agent.exe, e intentos de debilitar las defensas alterando la configuración de Windows Defender. El acceso inicial también involucró credenciales de VPN comprometidas, y las herramientas se instalaron utilizando la ejecución silenciosa de msiexec. Se dejaron caer múltiples copias del binario del ransomware Crazy (encrypt.exe), pero la etapa de ransomware no se ejecutó.

Mitigación

Priorice MFA en todos los caminos de acceso remoto, minimice cuentas privilegiadas y segmenta las redes para limitar el movimiento lateral. Audite agresivamente las herramientas de administración de terceros y alerte sobre cadenas de procesos sospechosos, instalaciones de msiexec silenciosas y suplantación de nombres de servicios. Bloquee o monitoree la infraestructura de C2 conocida y use control de aplicaciones para prevenir la ejecución de binarios RMM no autorizados.

Respuesta

Si se detectan, aísle los sistemas afectados, detenga los procesos maliciosos y elimine los servicios RMM no autorizados. Preserve artefactos clave (binarios, rastros de instaladores, registros), bloquee dominios/IPs relacionados con C2 y restablezca cualquier credencial comprometida. Realice un inventario a nivel de entorno de las herramientas de administración para validar su legítimidad, luego remedie los cambios en el registro y deshaga cualquier intento de manipulación de Defender o desactivación de controles de seguridad.

«graph TB %% Class Definitions classDef technique fill:#e0f7fa classDef tool fill:#ffe0b2 classDef process fill:#d1c4e9 %% Nodes step1[«<b>Técnica</b> – T1078 Cuentas Válidas<br/>Credenciales de proveedor SSL VPN comprometidas utilizadas para acceso remoto.»] class step1 technique step2[«<b>Técnica</b> – T1021.001 Servicios Remotos: Protocolo de Escritorio Remoto<br/>Se utilizó RDP para acceder al controlador de dominio.»] class step2 technique step3[«<b>Técnica</b> – T1218.007 Ejecución de Proxy de Binario del Sistema: Msiexec<br/>Instalación silenciosa del MSI de Net Monitor para Empleados.»] class step3 technique tool_msiexec[«<b>Herramienta</b> – Msiexec<br/><b>Propósito</b>: Instalar paquetes MSI»] class tool_msiexec tool step4[«<b>Técnica</b> – T1036 Suplantación<br/>El servicio se registró como OneDriveSvc, el proceso se renombró a OneDriver.exe y luego svchost.exe.»] class step4 technique step5[«<b>Técnica</b> – T1136.002 Crear Cuenta: Cuenta de Dominio<br/>Administrador incorporado habilitado y cuentas nuevas creadas.»] class step5 technique step5b[«<b>Técnica</b> – T1136.001 Crear Cuenta: Cuenta Local»] class step5b technique step5c[«<b>Técnica</b> – T1098.007 Grupos Locales o de Dominio Adicionales<br/>Se añadieron cuentas a grupos privilegiados.»] class step5c technique step6[«<b>Técnica</b> – T1012 Consulta de Registro<br/>Modificación del registro para desactivar Windows Defender.»] class step6 technique step6b[«<b>Técnica</b> – T1553 Subvertir Controles de Confianza<br/>Controles de seguridad desactivados.»] class step6b technique step7[«<b>Técnica</b> – T1059.001 PowerShell<br/>Se utilizó winptyu2011agent.exe para descargar vhost.exe (SimpleHelp).»] class step7 technique tool_winpty[«<b>Herramienta</b> – winptyu2011agent.exe<br/><b>Función</b>: Descargador de cargas útiles de PowerShell»] class tool_winpty tool malware_simplehelp[«<b>Malware</b> – vhost.exe (SimpleHelp)»] class malware_simplehelp process step8[«<b>Técnica</b> – T1102 Servicio Web<br/>Comunicaciones bidireccionales y de una vía a través de HTTPS con enmascaramiento de dominio.»] class step8 technique step8b[«<b>Técnica</b> – T1090.004 Enmascaramiento de Dominio<br/>Tráfico HTTPS a dronemaker.org y otras puertas de enlace.»] class step8b technique step9[«<b>Técnica</b> – T1087.001 Descubrimiento de Cuentas: Cuenta Local<br/>Cuentas locales enumeradas a través de comandos net.»] class step9 technique step9b[«<b>Técnica</b> – T1087.002 Descubrimiento de Cuentas: Cuenta de Dominio<br/>Cuentas de dominio enumeradas.»] class step9b technique step10[«<b>Técnica</b> – T1486 Datos Cifrados para Impacto<br/>Intento de despliegue del ransomware Crazy.»] class step10 technique malware_crazy[«<b>Malware</b> – Ransomware Crazy»] class malware_crazy process step10b[«<b>Técnica</b> – T1027.009 Archivos u Información Ofuscados: Cargas Incorporadas<br/>Múltiples binarios cifrados.»] class step10b technique step11[«<b>Técnica</b> – T1574.010 Secuestro del Flujo de Ejecución: Debilidad de Permisos de Archivos de Servicios<br/>Binarios y servicios renombrados para parecer legítimos.»] class step11 technique %% Connections step1 u002du002d>|leads_to| step2 step2 u002du002d>|leads_to| step3 step3 u002du002d>|uses| tool_msiexec step3 u002du002d>|leads_to| step4 step4 u002du002d>|leads_to| step5 step5 u002du002d>|related_to| step5b step5b u002du002d>|related_to| step5c step5c u002du002d>|leads_to| step6 step6 u002du002d>|modifies| step6b step6b u002du002d>|leads_to| step7 step7 u002du002d>|uses| tool_winpty tool_winpty u002du002d>|downloads| malware_simplehelp malware_simplehelp u002du002d>|leads_to| step8 step8 u002du002d>|uses| step8b step8b u002du002d>|leads_to| step9 step9 u002du002d>|leads_to| step9b step9b u002du002d>|leads_to| step10 step10 u002du002d>|delivers| malware_crazy malware_crazy u002du002d>|related_to| step10b step10b u002du002d>|leads_to| step11 «

Flujo de Ataque

Ejecución de Simulación

Prerequisito: Debe haber pasado el Chequeo Preliminar de Telemetría y Línea Base.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. ¡Los comandos y narrativas DEBEN reflejar directamente los TTP identificados y apuntan a generar exactamente la telemetría esperada por la lógica de detección.

  • Narrativa y Comandos de Ataque:

    1. Preparación: El atacante copia un binario benigno de Windows (calc.exe) a un archivo llamado nmep_agtconfig.exe, un sufijo observado que representa al agente de SimpleHelp.
    2. Ejecución: El binario renombrado se lanza, haciendo que Sysmon registre un evento de creación de proceso cuyo Imagen termina con nmep_agtconfig.exe.
    3. Pos-ejecución: El atacante opcionalmente ejecuta un comando en línea de PowerShell desde dentro del proceso generado para simular la ejecución de comando (ilustrando T1059), pero este comportamiento adicional no es necesario para que la regla se dispare.

  • Script de Prueba de Regresión:

    # Script de simulación – activa la regla de Sigma
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:Tempnmep_agtconfig.exe"

# Copiar calc.exe al nombre disfrazado
Copy-Item -Path $src -Destination $dst -Force

# Ejecutar el binario disfrazado
$proc = Start-Process -FilePath $dst -PassThru

# Opcional: en la misma sesión, ejecutar un comando inofensivo para generar telemetría de línea de comandos
Start-Process -FilePath "powershell.exe" -ArgumentList '-NoProfile -Command "Write-Host Simulated payload."' -NoNewWindow

# Salida de PID para limpieza
Write-Output "Spawned PID: $($proc.Id)"

  • Comandos de Limpieza:

    # Terminar el proceso disfrazado si sigue ejecutándose
Get-Process -Name "nmep_agtconfig" -ErrorAction SilentlyContinue | Stop-Process -Force

# Eliminar el archivo del disco
Remove-Item -Path "$env:Tempnmep_agtconfig.exe" -Force

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis