Source: Huntress (blog), publication du 11 mars 2026. Contexte: analyse de plusieurs intrusions observées entre décembre 2025 et janvier 2026 montrant un « daisy-chaining » d’outils RMM pour l’accès initial, la persistance et l’évasion, avec une visibilité inédite lorsque des acteurs se sont inscrits directement sur la plateforme Huntress.

  • Chiffres clés et tendance 📈: L’abus d’outils RMM représente 24% des incidents observés par Huntress l’an passé, avec une hausse de 277%. Les acteurs — du peu qualifié aux groupes plus établis — abandonnent des outils “hacking” classiques au profit de RMM légitimes pour déposer des charges, voler des identifiants et exécuter des commandes. La technique centrale est le daisy-chaining de RMM pour fragmenter la télémétrie, distribuer la persistance et compliquer l’attribution/containment.

  • Modes opératoires (TTPs) observés 🔗:

    • Accès initial via MSI RMM légitimes; scripts d’infostealer générés par LLM fouillant l’historique navigateur (ciblage QuickBooks/Coinbase) avec exfiltration Telegram mentionnée mais non implémentée.
    • Chaînage Action1 → ScreenConnect via MSI; variantes via WScript; abus de HeartbeatRM et clients ScreenConnect déployés silencieusement; notifications Telegram API (ex. “InjectProx-hiro Remote Support”).
    • Leurres massifs autour de la saison fiscale US et de la SSA (Social Security Administration), ainsi que des invitations/RSVP; diffusion par emails larges et empoisonnement SEO.
    • GitHub abusé comme hébergement de phishing (comptes VH851, Drasticc) avec pages index.html forçant le téléchargement MSI (ancre cliquée, iframe caché, fetch→blob), filtrage Windows-only par user-agent; campagnes mobile-only type carte de vœux visant le credential harvesting.
    • Cloudflare utilisé pour masquer l’infrastructure (origine/hébergement), tout en renforçant la légitimité perçue pendant le téléchargement.

  • Visibilité côté opérateur (inscription aux services Huntress) 🧪:

    • VPS Crowncloud avec Huntress installé; achats via business[.]gogift[.]com (obfuscation d’identité), usage de CertifyTheWeb (certificats). Aide via DeepSeek pour génération de domaines et tâches préalables.
    • Extensions Email Extractor, Proxy SwitchyOmega 3 (ZeroOmega) + 9Proxy pour routage IP et éviter les blocages; accès à des boîtes mail victimes et tentatives sur portails bancaires (abus de réinitialisation de mot de passe). Téléchargement de combo lists Hotmail et parsing via Lite 1.7 Email Extractor.
    • Installation ScreenConnect 25.2.4.9229; création d’installateurs RMM déguisés: digitalgiftcard_*.msi, punchbowl_invitation.msi, invitation_cp.ClientSetup.msi; recherche d’autres RMM à abuser.
    • Post-exploitation: Sordum “Hide from Uninstall List” pour cacher les RMM; dépôt de pin.exe se faisant passer pour Windows Security afin de collecter le PIN utilisateur dans output.txt (souvent dans ScreenConnect\Temp). Télégram Desktop contenait des PII sensibles (W-9, SSN, etc.). Connexions relevées depuis plusieurs régions/fournisseurs (voir IOCs).

  • Produits/artefacts et patterns récurrents 🧰:

    • Produits concernés (abusés): ScreenConnect (principal); Action1, HeartbeatRM, SimpleHelp, GoTo/GoTo Resolve, Datto (CentraStage); et plus largement: AnyDesk, Atera, Chrome Remote Desktop, PDQ (Deploy/Connect), RustDesk, Splashtop, MeshAgent, NetSupport, Tactical RMM, UltraVNC/WinVNC, etc.
    • Leurres/fichiers: thèmes SSA (ex. Social_Security_eStatement_.exe, SocialSecurityAdministration-Statement.msi, SSA statement.scr) et invitations/RSVP (invite.exe/.msi, invitation*.exe/.msi, RSVP*.exe/.msi/.scr, OPENINVITATION*.msi, PartyInvite*.msi, VVIP_Invitation.msi, EveningGathering_PreviewRSVP*.msi, Events_Invitation.msi), ainsi que digitalgiftcard_*.msi, punchbowl_invitation.msi. Artefacts post-exploitation: pin.exe, HideUL.exe / Hide From Uninstall List, WebBrowserPassView.exe, utilitaires disable_*/hide_mouse/phonepc/WindowsDefenderDAC, etc.

  • IOCs et TTPs 📌:

    • Infrastructures/domaines: business[.]gogift[.]com; GitHub comptes/répos: VH851, Drasticc (dont un repo « rty »), fichiers ex. invitatapartyTo.msi; Cloudflare comme proxy de protection.
    • IPs de connexion (serveur observé): 209.160.115[.]150 (Paradise Networks LLC), 98.97.79[.]68 (SpaceX), 105.113.63[.]173 (Airtel Nigeria), 93.152.214[.]210 (Euro Crypt EOOD).
    • Versions/outils: ScreenConnect 25.2.4.9229; WScript pour déploiements; LLM pour scripts infostealer; Telegram API pour notifications; Proxy SwitchyOmega 3 + 9Proxy; CertifyTheWeb.
    • Techniques (MITRE ATT&CK, implicites): T1566 (phishing), T1190/T1195 (chaînage de services légitimes), T1105 (C2 via RMM légitime), T1059 (exécution via scripts), T1036 (masquerade: pin.exe), T1078 (abus de comptes), T1027 (évasion via outils signés), T1112/T1562 (altération d’artefacts: Hide from Uninstall List), T1102 (exfil/notification via services web: Telegram), T1583/T1584 (infrastructure: VPS, Cloudflare), T1608 (préparation d’appâts: GitHub/SEO).

Type d’article: analyse de menace visant à documenter des campagnes d’abus de RMM, leurs TTPs et IOCs, et à mettre en évidence des schémas récurrents d’accès initial et de persistance.

🧠 TTPs et IOCs détectés

TTP

[‘T1566 (phishing)’, ‘T1190/T1195 (chaînage de services légitimes)’, ‘T1105 (C2 via RMM légitime)’, ‘T1059 (exécution via scripts)’, ‘T1036 (masquerade: pin.exe)’, ‘T1078 (abus de comptes)’, ‘T1027 (évasion via outils signés)’, ‘T1112/T1562 (altération d’artefacts: Hide from Uninstall List)’, ‘T1102 (exfil/notification via services web: Telegram)’, ‘T1583/T1584 (infrastructure: VPS, Cloudflare)’, ‘T1608 (préparation d’appâts: GitHub/SEO)’]

IOC

{‘domains’: [‘business[.]gogift[.]com’], ‘github_accounts’: [‘VH851’, ‘Drasticc’], ‘files’: [‘invitatapartyTo.msi’], ‘ips’: [‘209.160.115[.]150’, ‘98.97.79[.]68’, ‘105.113.63[.]173’, ‘93.152.214[.]210’]}

🔗 Source originale : https://www.huntress.com/blog/daisy-chaining-rogue-rmm-tools