RMM-Werkzeuge bieten Angreifern einen reibungsarmen Weg, sich Zugang zu einer Opferumgebung zu verschaffen und ihn zu halten. Weil IT-Teams diese Programme für legitime Zwecke wie Routineverwaltung und Wartung breit einsetzen, lösen sie selten Sicherheitswarnungen aus und erlauben es, schädliche Aktivität im normalen Betrieb untergehen zu lassen. Dieser Mechanismus hat den Missbrauch solcher Werkzeuge stark anschwellen lassen.

Forscher von Huntress berichten für 2025 von einem Anstieg des RMM-Missbrauchs um 277 Prozent gegenüber dem Vorjahr; die Tools tauchten in fast einem Viertel aller Vorfälle auf. Im selben Zeitraum ging der Einsatz klassischer Hacking-Werkzeuge um 53 Prozent zurück. Laut dem Unternehmen sind RMM-Tools die neue Lieblingswaffe von Cyberkriminellen.

Die Angriffe von VENOMOUS#HELPER beginnen mit einer überzeugend gestalteten Phishing-Mail, die sich als Nachricht der US-amerikanischen Sozialversicherungsbehörde (Social Security Administration, SSA) ausgibt. Empfänger werden auf eine angeblich neue, zum Abruf bereitstehende Mitteilung hingewiesen und zum Klick auf einen Link aufgefordert. Wer folgt, landet auf einer Phishing-Seite, die auf einer legitimen, aber zuvor kompromittierten Website liegt. Die Seite imitiert einen offiziellen SSA-Auftritt und fordert zur Bestätigung der E-Mail-Adresse sowie zum Download einer vermeintlich echten SSA-Mitteilung auf. Tatsächlich handelt es sich um eine schädliche ausführbare Datei, die am Ende SimpleHelp und ScreenConnect installiert.

Beide Werkzeuge dienen laut Securonix unterschiedlichen Zwecken: SimpleHelp ist der primäre RMM-Kanal, über den die Täter Skripte und Befehle ausführen, automatisierte Aufgaben anstoßen und die infizierten Systeme dauerhaft überwachen. ScreenConnect nutzen sie für die interaktive Steuerung des Desktops.

Die Analyse zeigte, dass die Tools leise, aber kontinuierlich liefen und in kurzer Zeit Hunderte Hintergrundaktionen ausführten, darunter Prüfungen der Netzwerkverbindung, der Nutzeraktivität und installierter Sicherheitssoftware. Securonix beobachtete, dass die Angreifer die Mausbewegungen verfolgten, um zu erkennen, wann ein Nutzer abwesend sein könnte, und dann manuelle Angriffe auszuführen.

Aaron Beardslee, Leiter der Bedrohungsforschung bei Securonix, hält die Angriffe für gezielt und darauf ausgelegt, Nutzer anzusprechen, die sich tatsächlich für Themen der Sozialversicherung interessieren. Nach der kleinen Stichprobe vermutet er, dass die Kampagne auf die privaten E-Mail-Konten höherrangiger Mitarbeiter zielt – in der Hoffnung, dass diese ihre private Post auf Firmengeräten öffnen. Es gebe zudem Hinweise, dass die Angreifer ein Interesse an Personen mit Zugriff auf die Kryptowährungsbestände ihrer Organisation hätten.

Solche Kampagnen zeigten, warum Sicherheitsteams ein gesundes Maß an „Cyber-Paranoia“ im Unternehmen verankern müssten, so Beardslee. Eine sicherheitsbewusste Person erkenne die gefälschten SSA-Nachrichten zwar, doch im Vertrieb, in der Personalabteilung oder in der Chefetage sei das oft nicht der Fall. Protokollierung der Endpunktaktivität in Verbindung mit einer starken SIEM- oder EDR-Plattform könne ungewöhnliches Verhalten wie die unbefugte Installation von RMM-Tools rasch sichtbar machen. Application-Whitelisting könne die Angriffe von vornherein stoppen, Netzwerküberwachung biete eine weitere Schutzschicht – nichts davon helfe jedoch, wenn Nutzer auf privaten Geräten auf den Köder hereinfielen.