Den Ausgangspunkt bildet eine Phishing-Mail, die sich als Nachricht der US-amerikanischen Sozialversicherungsbehörde (Social Security Administration, SSA) ausgibt. Die Empfänger werden aufgefordert, ihre E-Mail-Adresse zu bestätigen und über einen Link eine angebliche SSA-Mitteilung herunterzuladen. Der Link verweist zunächst auf die legitime, aber kompromittierte Website eines mexikanischen Unternehmens („gruta.com[.]mx") – nach Einschätzung der Forscher ein bewusster Schachzug, um Spam-Filter zu umgehen.

Die vermeintliche SSA-Mitteilung wird anschließend von einer zweiten, von den Angreifern kontrollierten Domain („server.cubatiendaalimentos.com[.]mx") nachgeladen. Dabei handelt es sich um eine ausführbare Datei, die das RMM-Werkzeug SimpleHelp ausliefert. Vermutlich hatten sich die Angreifer Zugang zu einem einzelnen cPanel-Benutzerkonto auf dem legitimen Hosting-Server verschafft, um die Binärdatei dort zu platzieren.

Öffnet das Opfer die mit JWrapper verpackte Windows-Datei in der Annahme, es handle sich um ein Dokument, nistet sich die Schadsoftware als Windows-Dienst mit Persistenz im abgesicherten Modus ein. Ein „selbstheilender Watchdog" startet den Prozess automatisch neu, sobald er beendet wird. Zudem fragt die Software alle 67 Sekunden über den WMI-Namespace root\SecurityCenter2 die installierten Sicherheitsprodukte ab und prüft alle 23 Sekunden, ob ein Nutzer aktiv ist.

Für vollständig interaktiven Desktop-Zugriff fordert der SimpleHelp-Client über AdjustTokenPrivileges das Recht SeDebugPrivilege an. Die zur Software gehörende legitime Datei „elev_win.exe" dient dazu, Rechte auf SYSTEM-Ebene zu erlangen. Damit kann der Angreifer den Bildschirm auslesen, Tastatureingaben einschleusen und auf Ressourcen im Benutzerkontext zugreifen.

Dieser erweiterte Fernzugriff wird genutzt, um ConnectWise ScreenConnect nachzuladen und zu installieren – als Ausweichkanal für den Fall, dass der SimpleHelp-Zugang abgeschaltet wird. Laut Securonix wird SimpleHelp in Version 5.0.1 eingesetzt, die einen umfassenden Funktionsumfang zur Fernadministration bietet.

Die Forscher Akshay Gaikwad, Shikha Sangwan und Aaron Beardslee beschreiben den Zustand der betroffenen Organisationen so: Der Angreifer könne jederzeit zurückkehren, in der Desktop-Sitzung des Nutzers unbemerkt Befehle ausführen, Dateien in beide Richtungen übertragen und auf benachbarte Systeme übergreifen – während herkömmliche, signaturbasierte Schutzmechanismen nur legitim signierte Software eines angesehenen britischen Herstellers sähen.