Abus de Net Monitor for Employees et SimpleHelp pour persistance menant à une tentative de ransomware Crazy
Selon Huntress (blog), fin janvier et début février 2026, l’équipe Tactical Response a observé deux intrusions où des acteurs ont combiné l’outil de surveillance Net Monitor for Employees Professional et la plateforme RMM SimpleHelp pour assurer une persistance robuste, aboutissant à une tentative de déploiement de ransomware Crazy (famille VoidCrypt) et à la surveillance d’activités liées aux cryptomonnaies. — Aperçu général Les attaquants ont utilisé Net Monitor for Employees comme canal d’accès principal (avec shell intégré via winpty-agent.exe) et SimpleHelp comme couche de persistance redondante 🔁. Les artefacts partagés (nom de fichier vhost.exe), l’infrastructure C2 qui se recoupe (dont dronemaker[.]org) et une tradecraft cohérente suggèrent un opérateur/groupe unique. — Cas #1 (fin janvier 2026) ...