Campagne d'hameçonnage VENOMOUS#HELPER
Une campagne de phishing sophistiquée, identifiée comme VENOMOUS#HELPER, est active depuis au moins avril 2025. Elle cible de multiples vecteurs d'attaque en détournant des outils légitimes de surveillance et de gestion à distance (RMM). Plus de 80 organisations, principalement aux États-Unis, ont été touchées. Cette activité recoupe des clusters précédemment documentés sous le nom de STAC6405. Bien que l'attribution demeure incertaine, les modes opératoires correspondent fortement à ceux de courtiers d'accès initial (IAB) à motivation financière ou de groupes précurseurs de ransomware cherchant à s'implanter en vue d'une exploitation ultérieure.
Table des matières
Vivre grâce à des outils de confiance : l’abus des logiciels RMM légitimes
Plutôt que de déployer des logiciels ouvertement malveillants, les attaquants utilisent des versions personnalisées d'outils légitimes tels que SimpleHelp et ConnectWise ScreenConnect. Ces applications étant couramment utilisées en entreprise, leur présence contourne souvent les contrôles de sécurité traditionnels et évite d'éveiller les soupçons.
Le déploiement simultané de ces deux outils est une tactique délibérée. En établissant deux canaux d'accès à distance, les attaquants garantissent la continuité de leurs opérations. Si une connexion est détectée et neutralisée, le second canal reste actif, permettant un accès non autorisé continu.
Point d’entrée du phishing : Ingénierie sociale avec un déguisement de confiance
L'attaque débute par un courriel d'hameçonnage soigneusement conçu, imitant l'administration américaine de la sécurité sociale (SSA). Le message incite les destinataires à vérifier leur adresse courriel et à télécharger un faux relevé de la SSA via un lien intégré.
Il est à noter que le lien redirige les victimes vers un site web d'entreprise mexicaine légitime mais compromis, ce qui démontre une volonté délibérée de contourner les filtres anti-spam et les systèmes de protection basés sur la réputation. De là, les victimes sont redirigées vers un second domaine contrôlé par l'attaquant, qui héberge le code malveillant dissimulé sous l'apparence d'un document légitime.
Livraison et persistance de la charge utile : ingénierie de l’accès à long terme
Une fois téléchargée, la charge utile, conditionnée sous forme de fichier exécutable Windows, lance l'installation de l'outil SimpleHelp RMM. Les attaquants auraient compromis un compte cPanel sur le serveur d'hébergement pour y déployer le fichier malveillant.
Après son exécution, le logiciel malveillant établit sa persistance et sa résilience grâce à plusieurs mécanismes :
- Installation en tant que service Windows avec persistance en mode sans échec
- Déploiement d'un système de surveillance à auto-réparation qui redémarre automatiquement le service en cas d'arrêt.
- Énumération régulière des produits de sécurité installés via l'espace de noms WMI root\SecurityCenter2 toutes les 67 secondes
- Surveillance continue de l'activité des utilisateurs à intervalles de 23 secondes
Ces techniques garantissent que la présence malveillante reste active, adaptable et difficile à éradiquer.
Élévation des privilèges et contrôle complet du système
Pour obtenir un contrôle interactif complet du système compromis, le client SimpleHelp élève ses privilèges en acquérant le privilège SeDebugPrivilege via AdjustTokenPrivileges. De plus, un composant légitime du logiciel, « elev_win.exe », est utilisé pour obtenir un accès au niveau SYSTEM.
Ce niveau de privilège élevé permet aux attaquants de :
- Surveiller et capturer l'activité de l'écran
- Injecter des frappes de touches en temps réel
- Accéder aux ressources sensibles dans le contexte de l'utilisateur
De telles capacités permettent effectivement un contrôle total sur l'environnement de la victime sans déclencher d'alertes de sécurité classiques.
Stratégie d’accès redondant : ScreenConnect comme canal de secours
Une fois le canal d'accès principal établi, les attaquants déploient ConnectWise ScreenConnect comme mécanisme d'accès distant secondaire. Ceci garantit leur persistance même si la connexion initiale SimpleHelp est identifiée et bloquée.
L'utilisation de plusieurs outils légitimes met en évidence une stratégie d'accès à plusieurs niveaux conçue pour la durabilité et la discrétion, ce qui complique les efforts de détection et de réponse aux incidents.
Impact opérationnel : Contrôle discret sous le radar
La version de SimpleHelp déployée (5.0.1) offre un ensemble complet de fonctionnalités d'administration à distance. Une fois infiltrés dans l'environnement, les attaquants peuvent agir librement et discrètement. L'organisation compromise reste vulnérable à une exploitation continue, car les attaquants peuvent réintégrer le système à leur guise.
L'environnement devient ainsi un actif contrôlé, permettant aux attaquants d'exécuter des commandes discrètement, de transférer des fichiers dans les deux sens et de se déplacer latéralement sur le réseau. Comme toute l'activité semble provenir d'un logiciel légitimement signé par un fournisseur britannique réputé, les antivirus traditionnels et les systèmes de défense basés sur les signatures échouent souvent à détecter l'intrusion.
Conclusion : Un plan pour les intrusions modernes
VENOMOUS#HELPER illustre la tendance croissante à détourner des outils d'administration légitimes à des fins malveillantes. En combinant ingénierie sociale, abus de logiciels de confiance et mécanismes d'accès redondants, la campagne assure persistance, furtivité et flexibilité opérationnelle. Cette approche souligne l'urgence d'une surveillance comportementale, du principe de confiance zéro et d'un contrôle renforcé de l'utilisation des outils légitimes en entreprise.
