🎯 Contexte

Publié le 6 mai 2026 par Securonix Threat Research (Akshay Gaikwad, Shikha Sangwan, Aaron Beardslee), ce rapport documente la campagne VENOMOUS#HELPER (également trackée STAC6405 par Sophos), active depuis au moins avril 2025 et ayant impacté plus de 80 organisations, principalement aux États-Unis, en Europe occidentale et en Amérique latine.

📧 Vecteur initial : phishing SSA

Les victimes reçoivent un email usurpant l’identité de la U.S. Social Security Administration (SSA). Le lien pointe vers un site mexicain légitime compromis (gruta.com.mx) servant de frontend de phishing avec récolte d’email, avant de rediriger vers le téléchargement du payload :

  • URL de livraison : server.cubatiendaalimentos.com.mx/~tiendazoycom/sns/statement5648.exe
  • Le fichier est un exécutable JWrapper signé par SimpleHelp Ltd (certificat Thawte valide), déclenchant un prompt UAC avec bouclier bleu « éditeur vérifié »

⚙️ Chaîne d’infection (5 stages)

  1. Stage 0 : Email phishing SSA → site .com.mx compromis → téléchargement payload
  2. Stage 1 : statement5648.exe (JWrapper) extrait un JRE Oracle 1.7.0_79 (EOL 2015), décode la config C2 en hex (udp://84.200.205.233:5555), s’installe silencieusement
  3. Stage 2 : SimpleService.exe installe un service Windows “Remote Access Service” via SCM + persistance SafeBoot (HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Remote Access Service) + watchdog de liveness
  4. Stage 3 : SimpleGatewayService.exe lance customer.jar (RAT SimpleHelp) avec flags JVM durcis (-Xrs, TLS downgrade)
  5. Stage 4 : session_win.exe + elev_win.exe permettent l’accès interactif au bureau via vol de token winlogon.exe (SeDebugPrivilege + DuplicateTokenEx)

🔧 Architecture dual-RMM

Canal Outil C2 Port Rôle
Primaire SimpleHelp 5.0.1 (cracké, JWrapper) 84.200.205.233 5555 UDP Surveillance automatisée + exécution scriptée
Secondaire ConnectWise ScreenConnect (relay auto-hébergé) 213.136.71.246 / sslzeromail.run.place 8041 TCP Accès bureau interactif

Les deux canaux sont indépendants : la neutralisation de l’un ne supprime pas l’accès via l’autre.

🔍 Surveillance automatisée

Sans interaction opérateur, le RAT exécute 986 créations de processus/heure via 3 boucles concurrentes :

  • WiFi : netsh wlan show interfaces toutes les ~15 secondes
  • Présence utilisateur : elev_win.exe --mouselocation toutes les ~23 secondes
  • Sécurité : requêtes WMI SecurityCenter2 (AV, AS, FW) + netsh advfirewall toutes les ~67 secondes

🥷 Évasion EDR notable

wmic.exe est renommé en C:\Windows\System32\wbem\wmic.exe.bak pour contourner les règles de détection basées sur le nom de processus, tout en conservant une fonctionnalité identique.

🏷️ Attribution

Aucune attribution formelle. Securonix évalue l’activité comme financièrement motivée, cohérente avec un Initial Access Broker (IAB) ou un précurseur de ransomware ciblant le bloc économique occidental.

📋 Type d’article

Analyse technique approfondie avec IOCs, TTPs MITRE ATT&CK, règles de détection Securonix et requêtes de chasse, destinée aux équipes SOC et CTI.

🧠 TTPs et IOCs détectés

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1584.001 — Compromise Infrastructure: Domains (Resource Development)
  • T1219 — Remote Access Software (Command and Control)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1562.009 — Impair Defenses: Safe Mode Boot (Defense Evasion)
  • T1134.001 — Access Token Manipulation: Token Impersonation/Theft (Privilege Escalation)
  • T1134.002 — Access Token Manipulation: Create Process with Token (Privilege Escalation)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1518.001 — Software Discovery: Security Software Discovery (Discovery)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1036.003 — Masquerading: Rename System Utilities (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

IOC

  • IPv4 : 84.200.205.233AbuseIPDB · VT · ThreatFox
  • IPv4 : 213.136.71.246AbuseIPDB · VT · ThreatFox
  • Domaines : gruta.com.mxVT · URLhaus · ThreatFox
  • Domaines : sslzeromail.run.placeVT · URLhaus · ThreatFox
  • Domaines : server.cubatiendaalimentos.com.mxVT · URLhaus · ThreatFox
  • URLs : http://server.cubatiendaalimentos.com.mx/~tiendazoycom/sns/statement5648.exeURLhaus
  • URLs : http://server.cubatiendaalimentos.com.mx/~tiendazoycom/sns/URLhaus
  • URLs : http://84.200.205.233:5555/access/URLhaus
  • URLs : udp://84.200.205.233:5555URLhaus
  • URLs : relay://sslzeromail.run.place:8041/URLhaus
  • SHA256 : 641230a9f3091bdd38d04c6df96062bfc82dfc4ff6f663ceb522d3881d6af53aVT · MalwareBazaar
  • SHA256 : dbdddea03c3fc4c2574ce4221450ec86221ebc615c4915c4c4eb3f2a5e3f5b25VT · MalwareBazaar
  • SHA256 : 9369d7194ab03362e9e7af022a48bc6d4e7d91a6ab7c4b5cf5d90abbcd8c7012VT · MalwareBazaar
  • SHA256 : 97f801e750cfc2d4558020fb246782e034fd6101d75a59d8915b4f2b2b50ebd9VT · MalwareBazaar
  • SHA256 : 11914d10b51b5a96606ae606b5ab70d79550e36c1cce94a86134107c59075e0cVT · MalwareBazaar
  • SHA256 : 76d85124db2778baecee24cc5ad56c9a3060c41c5b3c1b5cdc7f0435e0f77cacVT · MalwareBazaar
  • SHA256 : d953dfbe8d91dc9fafad0a6117e1276fa636d4ae1b6a4d81616ff2446cf09234VT · MalwareBazaar
  • SHA256 : 3e4b3559fdbe584e19a1ff9b3142b429c6fb91aaa63b5c922c8c5b32c38e426aVT · MalwareBazaar
  • Fichiers : statement5648.exe
  • Fichiers : ContractAgreementToSign.exe
  • Fichiers : SimpleGatewayService.exe
  • Fichiers : SimpleService.exe
  • Fichiers : session_win.exe
  • Fichiers : elev_win.exe
  • Fichiers : winpty-agent64.exe
  • Fichiers : jwrapper_utils.jar
  • Fichiers : serviceconfig.xml
  • Fichiers : simplegateway.service
  • Fichiers : customer.jar
  • Fichiers : wmic.exe.bak
  • Fichiers : sc.msi
  • Chemins : C:\ProgramData\JWrapper-Remote Access\
  • Chemins : C:\ProgramData\JWrapper-Remote Access\JWAppsSharedConfig\sgalive
  • Chemins : C:\Windows\System32\wbem\wmic.exe.bak
  • Chemins : C:\ProgramData\JWrapper-Remote Access\JWAppsSharedConfig\SimpleGatewayService\SimpleGatewayService.exe
  • Chemins : C:\ProgramData\JWrapper-Remote Access\JWAppsSharedConfig\SimpleService.exe
  • Chemins : C:\ProgramData\JWrapper-Remote Access\JWAppsSharedConfig\serviceconfig.xml
  • Chemins : C:\Program Files (x86)\ScreenConnect Client (adbce2b92cb435b3)\ScreenConnect.ClientService.exe

Malware / Outils

  • SimpleHelp (rat)
  • ScreenConnect (rat)
  • JWrapper (loader)
  • winpty-agent64.exe (tool)
  • session_win.exe (tool)
  • elev_win.exe (tool)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ⬜ securonix.com — source non référencée (0pts)
  • ✅ 60101 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 38 IOCs dont des hashes (15pts)
  • ✅ 5/11 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 13 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 84.200.205.233 (ip) → VT (4/91 détections)
  • 213.136.71.246 (ip) → VT (3/91 détections)
  • gruta.com.mx (domain) → VT (17/91 détections)
  • sslzeromail.run.place (domain) → VT (7/91 détections)
  • server.cubatiendaalimentos.com.mx (domain) → VT (6/91 détections)

🔗 Source originale : https://www.securonix.com/blog/venomous-helper-phishing-campaign