SimpleHelp

🕵️ Contexte Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI. 🏴 Attribution & Sponsor Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...

Selon Huntress (blog), fin janvier et début février 2026, l’équipe Tactical Response a observé deux intrusions où des acteurs ont combiné l’outil de surveillance Net Monitor for Employees Professional et la plateforme RMM SimpleHelp pour assurer une persistance robuste, aboutissant à une tentative de déploiement de ransomware Crazy (famille VoidCrypt) et à la surveillance d’activités liées aux cryptomonnaies. — Aperçu général Les attaquants ont utilisé Net Monitor for Employees comme canal d’accès principal (avec shell intégré via winpty-agent.exe) et SimpleHelp comme couche de persistance redondante 🔁. Les artefacts partagés (nom de fichier vhost.exe), l’infrastructure C2 qui se recoupe (dont dronemaker[.]org) et une tradecraft cohérente suggèrent un opérateur/groupe unique. — Cas #1 (fin janvier 2026) ...

Selon canadianrecycler.ca (Toronto, Ontario), une attaque survenue le 6 août au soir a visé des entreprises utilisant le logiciel d’accès à distance SimpleHelp, touchant environ 300 recycleurs automobiles en Amérique du Nord, dont au moins quatre au Canada. • Type d’attaque: ransomware. Les victimes ont été verrouillées hors de leurs bases de données et ont reçu des notes de rançon exigeant un paiement pour restaurer l’accès. Parmi les entreprises nommées, Plazek Auto Recycling (près de Hamilton, Ontario) a découvert au matin des ordinateurs verrouillés et 30 copies identiques d’une note de rançon imprimées. L’entreprise n’a pas payé, s’appuyant sur des sauvegardes mises en place après un incident similaire en 2019, ce qui lui a permis de nettoyer le malware et de récupérer toutes ses données sauf quelques heures d’enregistrements. D’autres entreprises canadiennes citées incluent Millers Auto Recycling (Fort Erie, Ontario) et Marks Parts (Ottawa), qui ont également pu restaurer l’accès aux données. ...

La Cybersecurity and Infrastructure Security Agency (CISA) americaine a publié un avis concernant l’exploitation par des acteurs de ransomware d’une vulnérabilité non corrigée dans SimpleHelp Remote Monitoring and Management (RMM). Cette vulnérabilité a été utilisée pour compromettre les clients d’un fournisseur de logiciels de facturation de services publics. Depuis janvier 2025, un schéma plus large d’attaques par ransomware a été observé, ciblant les organisations via des versions non corrigées de SimpleHelp RMM. Les versions concernées sont les versions 5.5.7 et antérieures, qui contiennent plusieurs vulnérabilités, notamment la CVE-2024-57727, une vulnérabilité de traversée de chemin. ...

Cet article, publié par Bleepingcomputer, rapporte une attaque de ransomware menée par le groupe DragonForce. Les attaquants ont ciblé un fournisseur de services gérés (MSP) en utilisant la plateforme SimpleHelp pour accéder aux systèmes des clients et y déployer des encryptors. Les chercheurs de Sophos, appelés pour enquêter, ont découvert que les attaquants ont exploité une chaîne de vulnérabilités de SimpleHelp, identifiées comme CVE-2024-57727, CVE-2024-57728, et CVE-2024-57726. Ces failles ont permis aux cybercriminels de réaliser des actions de reconnaissance sur les systèmes des clients, collectant des informations sensibles telles que les noms de dispositifs, les configurations, les utilisateurs et les connexions réseau. ...