Securonix dévoile VENOMOUS#HELPER, une campagne de phishing qui a infecté 80 organisations en déployant simultanément SimpleHelp et ScreenConnect.
En bref
- La campagne VENOMOUS#HELPER, dévoilée par Securonix, a infecté plus de 80 organisations majoritairement aux États-Unis depuis avril 2025
- L'attaque démarre par un email se faisant passer pour la Social Security Administration américaine (SSA), invitant à télécharger un faux relevé
- Particularité : les attaquants installent simultanément deux RMM légitimes (SimpleHelp et ScreenConnect) pour assurer une persistance redondante
Ce qui s'est passé
Securonix a publié le 4 mai 2026 un rapport détaillé sur une campagne de phishing baptisée VENOMOUS#HELPER, active depuis au moins avril 2025 et qui a fait plus de 80 victimes confirmées, principalement aux États-Unis. Le mode opératoire repose sur un détournement de logiciels de Remote Monitoring and Management (RMM) — outils légitimes utilisés par les MSP et les équipes IT internes pour gérer à distance les postes de travail — afin d'établir un accès persistant aux machines compromises.
L'amorce reste classique : un courriel imitant la Social Security Administration américaine, l'agence en charge de la sécurité sociale fédérale, demande au destinataire de vérifier son adresse email et de télécharger un prétendu relevé de prestations. Le lien embarqué dans le mail redirige vers un site mexicain compromis (gruta.com.mx) qui sert d'abord une page de collecte de credentials aux couleurs de la SSA, puis bascule l'utilisateur vers un payload hébergé sur un compte cPanel tiers, lui aussi compromis.
L'exécutable téléchargé se présente sous la forme d'un document gouvernemental numéroté. Il s'agit en réalité d'un binaire empaqueté JWrapper, signé par SimpleHelp Ltd avec un certificat Thawte valide. Conséquence directe : Windows affiche le bandeau bleu de l'éditeur vérifié, et non le bandeau rouge des éditeurs inconnus. Beaucoup d'utilisateurs, même formés, ne détectent pas l'anomalie à ce stade. La signature légitime est ce qui rend la campagne particulièrement efficace contre les EDR qui se reposent sur la réputation des certificats.
Une fois exécuté, le binaire installe une instance auto-hébergée de SimpleHelp 5.0.1 contrôlée par les attaquants, qui sert de canal d'accès distant. Mais Securonix a observé que les opérateurs déploient en parallèle un relais ConnectWise ScreenConnect sur la même machine, créant ce que les chercheurs appellent une « architecture redondante à double canal ». Si une équipe de réponse à incident détecte et bloque SimpleHelp, ScreenConnect reste disponible — et inversement. La double persistance complique massivement la remédiation.
Cette utilisation détournée des RMM n'est pas nouvelle. L'ANSSI et le CERT-FR ont publié plusieurs alertes en 2024 et 2025 sur le détournement de TeamViewer, AnyDesk, ConnectWise et Atera. Mais VENOMOUS#HELPER pousse le concept à un niveau supérieur en industrialisant le déploiement parallèle de deux RMM, et en les adossant à une infrastructure de phishing massivement crédible. Le ciblage géographique — quasi exclusivement le bloc économique occidental, avec une concentration aux États-Unis et au Canada — colle au profil d'un Initial Access Broker.
Securonix considère que VENOMOUS#HELPER présente un alignement avec des clusters précédemment suivis par Red Canary et par Sophos, ce dernier l'ayant désigné sous le nom STAC6405. Aucune attribution formelle n'a été établie à ce jour, mais le mode opératoire — accès initial préparé puis revendu à des affiliés ransomware ou à des opérateurs d'extorsion — colle au modèle économique des IAB documenté depuis 2022. Les volumes observés (80 organisations infectées en moins d'un an, sans escalade ransomware visible chez la majorité d'entre elles) suggèrent que les opérateurs revendent les accès plutôt que de les exploiter eux-mêmes.
L'analyse des artefacts révèle une discipline opérationnelle inhabituelle. Les attaquants utilisent des certificats valides, des binaires signés, des hébergements compromis tournants pour la livraison du payload, et des instances RMM auto-hébergées plutôt que des infrastructures cloud louées. Les commandes post-exploitation observées sur les machines compromises se limitent à la reconnaissance (domaine Active Directory, droits de l'utilisateur, présence d'EDR) et à l'exfiltration légère de credentials. Le déploiement de ransomware proprement dit est rarissime — ce qui renforce l'hypothèse d'un IAB plutôt que d'un opérateur intégré.
Pour les défenseurs, les indicateurs de compromission publiés par Securonix incluent les empreintes des binaires SimpleHelp détournés, les domaines de phishing observés (notamment gruta.com.mx et plusieurs sous-domaines cPanel compromis), ainsi que les ports et adresses IP des instances SimpleHelp et ScreenConnect contrôlées par les attaquants. Plusieurs SIEM et EDR ont déjà publié des règles de détection couvrant l'exécution non autorisée de SimpleHelp et l'installation simultanée de deux RMM sur un même hôte.
Pourquoi c'est important
VENOMOUS#HELPER illustre la difficulté croissante de détection des outils Living-off-the-Land qui s'appuient sur des logiciels parfaitement légitimes. SimpleHelp et ScreenConnect sont massivement utilisés par les MSP, les départements IT internes et les helpdesks externalisés. Bloquer leur exécution par défaut casserait des dizaines de milliers de chaînes de support légitimes. Les EDR modernes doivent donc passer d'une logique « binaire malveillant ou non » à une logique « ce binaire est-il déployé par mon administrateur autorisé, sur les hôtes attendus, depuis l'instance approuvée ».
L'autre enseignement concerne la résilience des accès. La double instrumentation SimpleHelp + ScreenConnect introduit une boucle de remédiation que la plupart des plans de réponse à incident classiques ne prévoient pas. Une équipe SOC qui détecte et coupe le canal SimpleHelp peut considérer l'incident contenu, alors que le canal ScreenConnect continue de fonctionner. Les IR retainers doivent désormais intégrer une chasse systématique de tous les RMM présents sur un hôte compromis, avec corrélation entre les multiples instances pour distinguer les autorisées des frauduleuses.
Pour les entreprises françaises et européennes, le risque dépasse le périmètre américain ciblé pour l'instant. Les Initial Access Brokers revendent leurs accès à des affiliés qui, eux, n'ont aucune préférence géographique. Une victime infectée aux États-Unis aujourd'hui peut voir son accès vendu à un affilié LockBit, Akira ou Play qui exploitera le même TTP en France demain. Les indicateurs de compromission publiés par Securonix sont donc à intégrer rapidement dans les SIEM et EDR européens, même en l'absence d'incident local actuel.
Enfin, le succès du leurre SSA souligne une réalité que les RSSI connaissent mais qui se confirme campagne après campagne : l'usurpation d'institutions publiques garde un taux de clic élevé, particulièrement quand elle s'accompagne de signatures de code valides. Les programmes de sensibilisation doivent insister sur les éléments visuels qui ne suffisent pas — bandeau d'éditeur vérifié, signature numérique, certificat Thawte — et sur l'unique question pertinente : « ai-je sollicité ce téléchargement ? ». Tout document gouvernemental envoyé spontanément doit être considéré comme suspect par défaut.
Ce qu'il faut retenir
- Plus de 80 organisations infectées par VENOMOUS#HELPER depuis avril 2025, via des emails imitant la Social Security Administration américaine
- Particularité technique : double déploiement de SimpleHelp et ScreenConnect, avec binaire signé légitimement par SimpleHelp Ltd
- Recommandations : bloquer l'exécution de RMM non autorisés via AppLocker/WDAC, intégrer les IOCs Securonix, durcir la chasse SOC sur la cohabitation de plusieurs RMM sur un même hôte
Comment distinguer un usage légitime de SimpleHelp d'une compromission VENOMOUS#HELPER ?
Trois critères : la provenance du binaire (votre MSP a-t-il une politique formelle de déploiement ?), l'instance serveur à laquelle il se connecte (vérifiez les destinations IP/domaines autorisés), et la cohabitation avec un autre RMM. Une instance SimpleHelp inconnue, qui se connecte à un serveur tiers, et qui apparaît sur un hôte où ScreenConnect est aussi installé, doit être considérée comme un IOC fort.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
GPT-5.5 sur AWS Bedrock : OpenAI s'invite chez Anthropic
AWS a annoncé le 4 mai 2026 l'arrivée de GPT-5.5, GPT-5.4, Codex et Managed Agents OpenAI dans Amazon Bedrock, aux côtés de Claude.
Pentagon : 7 IA sur réseaux classifiés, Anthropic exclue
Le Pentagone a signé le 1er mai 2026 des accords avec sept fournisseurs d'IA pour ses réseaux SECRET et TOP SECRET. Anthropic reste exclue.
DigiCert piégé par un .scr : 60 certificats EV révoqués
DigiCert a révoqué 60 certificats EV Code Signing après une intrusion via un fichier screensaver envoyé en chat support, attribuée au groupe chinois GoldenEyeDog. Une fenêtre de dix jours non détectée à cause d'un capteur EDR silencieux.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire