Abus de Net Monitor for Employees et SimpleHelp pour persistance menant à une tentative de ransomware Crazy

Selon Huntress (blog), fin janvier et début février 2026, l’équipe Tactical Response a observé deux intrusions où des acteurs ont combiné l’outil de surveillance Net Monitor for Employees Professional et la plateforme RMM SimpleHelp pour assurer une persistance robuste, aboutissant à une tentative de déploiement de ransomware Crazy (famille VoidCrypt) et à la surveillance d’activités liées aux cryptomonnaies.

— Aperçu général

• Les attaquants ont utilisé Net Monitor for Employees comme canal d’accès principal (avec shell intégré via winpty-agent.exe) et SimpleHelp comme couche de persistance redondante 🔁.
• Les artefacts partagés (nom de fichier vhost.exe), l’infrastructure C2 qui se recoupe (dont dronemaker[.]org) et une tradecraft cohérente suggèrent un opérateur/groupe unique.

— Cas #1 (fin janvier 2026)

• Détection d’actions suspectes sur les comptes (désactivation de Guest, tentatives de réinitialisation de mots de passe, création de comptes, activation d’Administrator) via un outil de gestion à distance.
• Le binaire winpty-agent.exe est lancé depuis lsa.exe, lié à Net Monitor for Employees, dont la fonction terminal a servi à télécharger via PowerShell un SimpleHelp renommé en vhost.exe depuis 160.191.182[.]41, configuré pour joindre 192.144.34[.]42.
• Tentatives d’évasion de défense via modifications du Registre pour altérer Windows Defender, puis essais répétés de déploiement de Crazy ransomware (encrypt.exe et copies successives), laissant penser à des échecs d’exécution initiaux.

— Cas #2 (début février 2026)

• Accès initial via un compte SSL VPN de fournisseur compromis, puis connexion RDP à un contrôleur de domaine et staging d’outils via PowerShell 🪝.
• Installation silencieuse de Net Monitor (msiexec depuis networklookout[.]com) avec déguisement des artefacts: service OneDriveSvc, processus OneDriver.exe et binaire renommé svchost.exe (mascarade). Le C2 Net Monitor pointe vers dronemaker[.]org et 104.145.210[.]13 sur 443.
• Déploiement de SimpleHelp comme service “Remote Access Service” sous C:\ProgramData\JWrapper-Remote Access; bootstrap JWrapper qui tire des composants depuis 160.191.182[.]41/access/ et s’enregistre via des gateways redondants (telesupportgroup[.]com, dronemaker[.]org, 192.144.34[.]42, 192.144.34[.]35, microuptime[.]com). Rejet/acceptation selon la configuration.
• Re-usage du nom vhost.exe; configuration GlobalEvents de SimpleHelp avec déclencheurs par mots-clés visant wallets/échanges/explorateurs (metamask, binance, etherscan, etc.) et outils d’accès distant (RDP, AnyDesk, TeamViewer, VNC), indiquant un intérêt pour le vol crypto 💸 et la détection de sessions actives.
• Reconnaissance réseau via winpty-agent.exe (ping, ipconfig /all) et reconfiguration de l’agent (nmep_agtconfig.exe) pour ajouter 192.144.34[.]35:443 comme C2 additionnel.

— Indicateurs de compromission (IOCs)

• Adresses IP: 160.191.182[.]41; 192.144.34[.]42; 192.144.34[.]35; 104.145.210[.]13
• Domaines/Gateways: dronemaker[.]org; telesupportgroup[.]com; microuptime[.]com
• Fichiers/Processus/Services:
  • vhost.exe (SimpleHelp renommé)
  • winpty-agent.exe; lsa.exe (lié à Net Monitor); nmep_agtconfig.exe
  • encrypt.exe, encrypt - Copy (2).exe, encrypt - Copy (3).exe (Crazy/VOIDCrypt)
  • Service: OneDriveSvc; Processus: OneDriver.exe; binaire renommé: svchost.exe
  • Service SimpleHelp: “Remote Access Service”; Chemin: C:\ProgramData\JWrapper-Remote Access
• URLs/Emplacements: hxxp://160.191.182[.]41/access/
• Mots-clés surveillés (SimpleHelp GlobalEvents): metamask, exodus, wallet, blockchain, binance, bybit, kucoin, bitrue, poloniex, bc.game, noones, etherscan, bscscan, payoneer, RDP, anydesk, ultraview, teamview, VNC

— Tactiques, techniques et procédures (TTPs)

• Accès initial: comptes VPN de fournisseur compromis; usage de RDP vers DC (valid accounts / external remote services / lateral movement via RDP)
• Exécution/Contrôle: shell intégré via winpty-agent.exe; PowerShell pour téléchargement et staging d’outils
• Persistance: installation de services RMM (Net Monitor, SimpleHelp) et gateways redondants
• Déguisement/Evasion: mascarade de services/processus (OneDriveSvc, OneDriver.exe, svchost.exe); altération de Defender via Registre
• Découverte/Réseau: ipconfig /all, ping des segments internes
• Transfert C2: callbacks sur port 443 vers domaines/IP multiples; mise à jour JWrapper depuis hôte HTTP interne de l’attaquant
• Impact: tentative de chiffrement (ransomware Crazy/ VoidCrypt); surveillance ciblée de l’activité crypto via triggers SimpleHelp

Il s’agit d’une analyse de menace publiée par Huntress visant à documenter deux intrusions réelles, leurs IOCs et TTPs, et à éclairer l’abus de logiciels légitimes (RMM/surveillance) à des fins de persistance et d’impact.

🧠 TTPs et IOCs détectés

TTP

[‘Accès initial via comptes VPN de fournisseur compromis’, ‘Utilisation de RDP pour mouvement latéral’, ‘Exécution de shell intégré via winpty-agent.exe’, ‘Téléchargement et staging d’outils via PowerShell’, ‘Persistance par installation de services RMM (Net Monitor, SimpleHelp)’, ‘Déguisement de services/processus (OneDriveSvc, OneDriver.exe, svchost.exe)’, ‘Évasion par altération de Windows Defender via le Registre’, ‘Découverte réseau via ipconfig /all et ping’, ‘Communication C2 via callbacks sur port 443 vers domaines/IP multiples’, ‘Mise à jour JWrapper depuis un hôte HTTP interne de l’attaquant’, ‘Tentative de chiffrement avec ransomware Crazy/VoidCrypt’, ‘Surveillance ciblée de l’activité crypto via triggers SimpleHelp’]

IOC

{‘ip’: [‘160.191.182.41’, ‘192.144.34.42’, ‘192.144.34.35’, ‘104.145.210.13’], ‘domain’: [‘dronemaker.org’, ’telesupportgroup.com’, ‘microuptime.com’], ‘file’: [‘vhost.exe’, ‘winpty-agent.exe’, ’lsa.exe’, ’nmep_agtconfig.exe’, ’encrypt.exe’, ’encrypt - Copy (2).exe’, ’encrypt - Copy (3).exe’], ‘service’: [‘OneDriveSvc’, ‘Remote Access Service’], ‘process’: [‘OneDriver.exe’, ‘svchost.exe’], ‘url’: [‘hxxp://160.191.182.41/access/’], ‘keywords’: [‘metamask’, ’exodus’, ‘wallet’, ‘blockchain’, ‘binance’, ‘bybit’, ‘kucoin’, ‘bitrue’, ‘poloniex’, ‘bc.game’, ’noones’, ’etherscan’, ‘bscscan’, ‘payoneer’, ‘RDP’, ‘anydesk’, ‘ultraview’, ’teamview’, ‘VNC’]}

---

🔗 Source originale : https://www.huntress.com/blog/employee-monitoring-simplehelp-abused-in-ransomware-operations