Die Sicherheitsexperten von Securonix haben eine bemerkenswerte Entwicklung dokumentiert: Während traditionelle Hacking-Tools an Bedeutung verlieren, erleben RMM-Plattformen einen massiven Missbrauch. Huntress berichtet von einem Anstieg um 277 Prozent im Jahr 2025 im Vergleich zum Vorjahr. RMM-Tools erscheinen inzwischen in fast einem Viertel aller Cybersicherheitsvorfälle — gleichzeitig sank die Nutzung klassischer Hacker-Tools um 53 Prozent.
Dieser Strategiewechsel ist aus Sicht der Angreifer rational: RMM-Tools sind in Unternehmen ubiquitär und werden von IT-Teams für alltägliche Wartungsarbeiten verwendet. Verdächtige Aktivitäten verschwinden im normalen Betriebslärm. Security-Alerts werden seltener ausgelöst, die Tools sind whitelisted und vertrauenswürdig.
Bei VENOMOUS#HELPER beginnt der Angriff mit einer raffizierten Phishing-E-Mail, die als offizielle Nachricht der US-amerikanischen Sozialversicherungsbehörde (SSA) getarnt ist. Opfer werden aufgefordert, eine neue Kontoabrechnung herunterzuladen. Der Link führt auf eine gefälschte SSA-Website, gehostet auf einer legitimen, aber zuvor kompromittierten Domain. Nutzer, die das Spiel mitspielen, laden unwissend eine ausführbare Datei herunter — eine Malware, die zur Installation von SimpleHelp und ScreenConnect führt.
Die Arbeitsteilung ist taktisch clever: SimpleHelp dient den Angreifern als primärer RMM-Kanal für Skriptausführung, Automatisierung und kontinuierliche Systemüberwachung. ScreenConnect wird für interaktive Desktopkontrolle genutzt. So verliert der Gegner nicht vollständig die Kontrolle, wenn eine Organisation eines der Tools entdeckt und entfernt.
Securonix dokumentierte hunderte von Hintergrund-Aktionen: Überprüfungen der Netzwerkverbindung, Benutzeraktivitätsverfolgung, Sicherheitstools-Scanning — sogar Cursor-Bewegungsverfolgung, um zu ermitteln, wann Nutzer abwesend sind. Dies deutet auf eine Operation hin, die durch finanzielle Motivationen (Initial Access Broker oder Ransomware-Vorbereitung) getrieben wird.
Aaron Beardslee von Securonix vermutet, dass die Kampagne gezielt auf höherrangige Mitarbeiter zielt, deren private E-Mail-Adressen auf Firmengeräten verwendet werden. Manche Hinweise deuten auf Interesse an Personen mit Zugriff auf Kryptowährungsbestände hin.
Deutsche Sicherheitsteams sollten mehrschichtig reagieren: Endpoint-Logging mit SIEM/EDR-Plattformen kann ungewöhnliche Verhaltensweisen aufdecken. Application-Whitelisting kann solche Angriffe komplett stoppen. Netzwerk-Monitoring hilft, verdächtige Aktivitäten zu erkennen. Am kritischsten aber bleibt die Sensibilisierung: Nicht jeder Mitarbeiter erkennt gefälschte Behörden-E-Mails.