RMM Hacks

Während Bedrohungsakteure schon seit langem RMMs in Kampagnen und Angriffsketten einsetzen, ist ihre zunehmende Verwendung als erste Nutzlast in E-Mail-Daten bemerkenswert.  Die Zunahme von RMM-Tools geht einher mit einem Rückgang der prominenten Lader und Botnets, die typischerweise von Erstzugangs-Brokern verwendet werden.

Überblick

Immer mehr Bedrohungsakteure verwenden legitime RMM-Tools in E-Mail-Kampagnen als Nutzlast der ersten Stufe von Cyberangriffen. RMM-Software wird in Unternehmen rechtmäßig von IT-Administratoren für die Fernverwaltung von Computerflotten eingesetzt. Wird diese Software missbraucht, hat sie die gleichen Fähigkeiten wie Remote Access Trojaner (RATs), und finanziell motivierte Bedrohungen liefern RMM-Tools immer häufiger per E-Mail.

Im Jahr 2024 beobachteten die Forscher von Proofpoint einen bemerkenswerten Anstieg der Verwendung von RMM-Tools durch cyberkriminelle Bedrohungsakteure in dokumentierten Kampagnen, einschließlich der Verwendung von Payloads wie ScreenConnect, Fleetdeck und Atera. Eine Kampagne wird von Proofpoint als eine zeitlich begrenzte Reihe von zusammenhängenden Bedrohungsaktivitäten definiert, die von Proofpoint-Forschern analysiert werden. Während NetSupport in der Vergangenheit das am häufigsten beobachtete RMM in den Kampagnendaten von Proofpoint war, ging seine Verwendung im Laufe des Jahres 2024 zurück und andere RMMs traten in den Vordergrund. Dieser Trend setzt sich im Jahr 2025 fort.

Der verstärkte Einsatz von RMM-Tools steht auch im Einklang mit einem Rückgang der prominenten Loader- und Botnet-Malware, die am häufigsten von Initial Access Brokern im Bereich der Computerkriminalität eingesetzt wird.

RMMs und IABs

Bei Angriffen wie Ransomware werden RMMs in der Regel als Teil einer gesamten Angriffskette eingesetzt und als Folge-Nutzlast oder -Technik beobachtet, sobald der erste Zugriff erfolgt ist. Die Infektion könnte durch einen per E-Mail zugestellten Loader oder eine andere Methode ausgelöst werden. Die Verwendung von RMMs für böswillige Aktivitäten ist weit verbreitet, und Bedrohungsakteure können diese Tools auf vielerlei Weise missbrauchen, z. B. durch die Nutzung vorhandener Fernverwaltungs-Tools in einer Umgebung oder durch die Installation neuer RMM-Software auf einem kompromittierten Host, um den Angriff aufrechtzuerhalten und sich seitlich zu bewegen.

Bedrohungsakteure, die telefonorientierte Angriffe (TOAD-Angriffe) durchführen, verwenden häufig RMM-Tools. Bei diesen Angriffen sendet ein Bedrohungsakteur eine E-Mail mit einer Telefonnummer, die entweder im Text oder in einer angehängten PDF-Datei enthalten ist, wobei in der Regel Rechnungen als Köder verwendet werden. Der Empfänger wird angewiesen, die Telefonnummer anzurufen, um die Rechnung anzufechten. Die Telefonnummer gehört jedoch dem Bedrohungsakteur, der den Empfänger schließlich anweist, ein RMM oder andere Malware zu installieren, sobald er ihn am Telefon hat. Zu den Nutzdaten, die typischerweise von TOAD-Akteuren verbreitet werden, gehören AnyDesk, TeamViewer, Zoho, UltraViewer, NetSupport und ScreenConnect.

Die Verwendung von RMMs als Nutzlast der ersten Stufe, die direkt per E-Mail zugestellt wird, war in den Proofpoint-Kampagnendaten vor 2024 nicht so häufig wie andere Malware-Zustellungen, wobei die meisten dieser Kampagnen seit 2022 NetSupport zustellten. Die Präsenz von RMMs in den Kampagnendaten nahm jedoch ab Mitte 2024 zu, wobei insbesondere ScreenConnect sehr viel häufiger auftrat.

Interessanterweise geht die Zunahme von RMMs in den Proofpoint-Daten mit dem Rückgang der beobachteten Loader und Botnets einher, die in E-Mail-Kampagnendaten mit Initial Access Brokern (IABs) beliebt sind, die in der Vergangenheit einen großen Teil der gesamten Bedrohungslandschaft ausmachten. Proofpoint hat beobachtet, dass die Aktivität mehrerer verfolgter IABs seit Mitte 2024 erheblich abgenommen hat oder ganz aus den E-Mail-Kampagnendaten verschwunden ist, darunter die Threat Actors TA577, TA571 und TA544. Es ist wahrscheinlich, dass diese Akteure entweder umrüsten oder andere anfängliche Zugangsmethoden anstelle von E-Mails verwenden. So wurden beispielsweise TA577-Kampagnen beobachtet, die zu Black Basta-Ransomware führten. Berichte von Drittanbietern über die jüngsten Black-Basta-Vorfälle deuten darauf hin, dass der erste Zugriff über Social-Engineering-Angriffe erfolgte, die Microsoft Teams nutzen.

Der Rückgang der IAB-E-Mail-Bedrohungsaktivitäten ist höchstwahrscheinlich auf die Operation Endgame zurückzuführen, eine globale Strafverfolgungsmaßnahme, die die Infrastruktur von IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee und Trickbot gestört hat. Durch den eingeschränkten Zugang zu diesen großen Malware-Familien konnten die IAB-Bedrohungsakteure ihre typischen E-Mail-basierten Angriffe nicht durchführen. Auch die Ransomware-Zahlungen insgesamt gingen in der zweiten Hälfte des Jahres 2024 zurück, wie das Blockchain-Intelligence-Unternehmen Chainalysis berichtet. Die Zahlungen gingen im Jahr 2024 insgesamt um 35 % zurück.

Proofpoint ordnet viele der RMM-Kampagnen nicht den verfolgten Bedrohungsakteuren zu, sodass die von den Forschern verfolgten IAB-Akteure nicht zwangsläufig auf RMM-Versand per E-Mail umgestiegen sind. Interessant ist jedoch die drastische Veränderung der Landschaft im Jahr 2024 und die Zunahme neuer und unterschiedlicher Bedrohungen.

Während das Volumen der RMM-Kampagnen gestiegen ist, reicht das Nachrichtenvolumen von einer Handvoll bis zu Tausenden von Nachrichten pro Kampagne. Das Gesamtvolumen der Nachrichten ist jedoch immer noch geringer als die historischen Malspam-Aktivitäten des IAB.

Laut den Informationen, die Red Canary und DFIR Report, die sich auf die Verfolgung und Behebung von Aktivitäten nach der Ausbeutung spezialisiert haben, an Proofpoint weitergegeben haben, sind die beliebtesten RMMs, die als Nutzlast der zweiten Stufe verwendet werden, nicht dieselben, die in den Proofpoint-Daten am häufigsten als Nutzlast der ersten Stufe beobachtet werden. Basierend auf einer Analyse der von Emerging Threats ausgelösten Erkennungen ist laut Daten von OPNsense-Benutzern, die die ETPRO Telemetry Edition verwenden, TeamViewer das bekannteste RMM, das in den Netzwerkaktivitäten auftaucht, gefolgt von Atera und NetSupport, die viel seltener in den Daten vorkommen.

Beispiele für Kampagnen

TA583

Proofpoint hat kürzlich einen neuen Bedrohungsakteur, TA583, benannt. TA583 ist einer der bekanntesten Bedrohungsakteure, die ScreenConnect verbreiten. Es handelt sich derzeit um einen sehr aktiven Bedrohungsakteur, der täglich mehrere Kampagnen durchführt, von denen die meisten dieses RMM verwenden. Größe und Umfang der Kampagnen variieren: Einige umfassen Zehntausende von Nachrichten, während andere nur auf einige wenige Personen in der Telemetrie von Proofpoint abzielen.

TA583 ist ein cyberkrimineller Bedrohungsakteur mit dem Ziel, sich Fernzugriff auf Zielumgebungen zu verschaffen. Spezifische Ziele, sobald ein System kompromittiert ist, liegen außerhalb der Sichtweite von Proofpoint, können aber die Übernahme von Konten (ATO), den Diebstahl von Zugangsdaten, die Datenexfiltration und möglicherweise die Vermittlung des Erstzugangs für andere Bedrohungsakteure beinhalten. Proofpoint hat diesen Akteur seit 2022 anhand von E-Mail-Ködern, Zielpersonen, verwendeter Malware und Netzwerkinfrastruktur verfolgt, aber erst im Januar 2025 eine TA-Nummer vergeben.

Vor Mitte 2024 setzte dieser Akteur hauptsächlich AsyncRAT ein und verwendete ScreenConnect seltener als Nutzlast der ersten Stufe. Seit Mitte 2024 hat der Akteur jedoch hauptsächlich ScreenConnect als anfängliche Zugangsnutzlast verwendet. Proofpoint hat außerdem beobachtet, dass ScreenConnect bei mehreren Gelegenheiten AsyncRAT nach einer Infektion herunterlädt und installiert, was darauf hindeutet, dass das RMM häufig als Ladeprogramm für andere Malware verwendet wird.

Bei den meisten beobachteten Kampagnen wird ScreenConnect über URLs verbreitet, obwohl viele auch HTML- oder PDF-Anhänge verwenden. Diese URLs nutzen häufig E-Mail-Verkürzungsdienste und öffentlich verfügbare Dienste wie Dropbox und Bitbucket. Dieser Akteur verwendet routinemäßig Köder, die mit der U.S. Social Security Administration in Verbindung stehen. Andere beobachtete Köder sind der Canada Pension Plan, die US-Steuerbehörde, der U.S. Postal Service (USPS), verschiedene Telekommunikationsanbieter und andere.

Am 6. Januar 2025 identifizierte Proofpoint beispielsweise eine Kampagne, die sich als die US-Sozialversicherungsbehörde ausgab. Die Nachrichten enthielten URLs, die zu einer ausführbaren Datei führten, die, wenn sie ausgeführt wurde, ScreenConnect installierte.

Proofpoint hat beobachtet, dass TA583 für die Zustellung von E-Mails häufig die folgenden Methoden verwendet:

Kostenlose E-Mail-Konten für Verbraucher, die von Telekommunikationsanbietern zur Verfügung gestellt werden

E-Mail-Marketing- und Umfrageplattformen (z. B. Sendgrid, Mailjet und Qualtrics)

Kompromittierte E-Mail-Konten

TA583 verwendet legitime, signierte ScreenConnect-Installationsprogramme und nutzt sowohl DDNS-Anbieter als auch von Akteuren betriebene Command-and-Control-Server (C2).

TA2725

Andere Bedrohungsakteure haben RMM-Tools als Nutzlast der ersten Stufe eingesetzt, darunter TA2725. TA2725 ist ein Bedrohungsakteur, den Proofpoint seit März 2022 verfolgt und der dafür bekannt ist, dass er brasilianische Banking-Malware (einschließlich Mispadu, Astaroth und historisch Grandoreiro) und Credential-Phishing einsetzt, um Organisationen hauptsächlich in Brasilien, Mexiko und Spanien anzugreifen. TA2725 hostet seinen URL-Redirector in der Regel bei GoDaddy Virtual Hosting.

Im Januar 2025 begann TA2725 zum ersten Mal mit der Bereitstellung von ScreenConnect. Die Kampagnen umfassten Stromrechnungsköder mit URLs, die zu komprimierten ausführbaren Dateien führten, die zur Installation von ScreenConnect führten. Diese Kampagnen zielten ausschließlich auf Organisationen in Mexiko ab.

Es ist wahrscheinlich, dass mehr cyberkriminelle Akteure RMM-Tools als erste Nutzlast einsetzen werden, da andere Gruppen solche Nutzlasten immer häufiger und effizienter einsetzen.

ZPHP und UAC-0050

Obwohl NetSupport in den Kampagnendaten von Proofpoint derzeit seltener zu finden ist, gibt es immer noch eine Handvoll Bedrohungsakteure, die es als First-Stage-Payload per E-Mail verbreiten.

Proofpoint identifizierte zum Beispiel im Juni 2023 erstmals eine Gruppe von gefälschten Update-Kampagnen, die zu NetSupport RAT führten. Proofpoint bezeichnet diese Aktivität als ZPHP, und sie wird weiterhin wöchentlich durchgeführt.

Das ZPHP-Inject ist ein einfaches Skriptobjekt, das in den HTML-Code einer kompromittierten Website eingefügt wird. Die Nutzlast wird über eine base64-kodierte Zip-Datei heruntergeladen. Die gezippte Browser-Update-Nutzlast enthält normalerweise eine JavaScript-Datei, die eine bösartige NetSupport RAT-Nutzlast auf den Host lädt. Proofpoint hat auch gesehen, dass die .zip-Datei eine ausführbare Datei enthält, die Lumma Stealer lädt.

Die aktuelle NetSupport-Konfiguration enthält Folgendes:

Lizenznehmer: XMLCTL

SerienNummer: NSM303008

Forscher beobachteten die Verwendung dieser Lizenz durch ZPHP erstmals im Juni 2024, und seitdem wird sie in ZPHP-Kampagnen verwendet.

Bemerkenswerterweise überschneidet sich diese Lizenz mit NetSupport-Nutzdaten, die kürzlich von UAC-0050, einem Bedrohungsakteur, der in der Regel Organisationen in der Ukraine mit Remote-Access-Trojanern (RATs) angreift, bereitgestellt wurden. Am 14. Januar 2025 beobachteten Forscher von Proofpoint, dass dieser Akteur gezippte PDFs mit URLs auslieferte, die letztlich zur Installation von NetSupport mit der Lizenz „XMLCTL“ führten. Dies war das erste Mal, dass Proofpoint beobachtete, wie UAC-0050 NetSupport auslieferte, da er in der Vergangenheit andere Malware wie Remcos und Lumma Stealer verwendet hat, aber auch schon RMMs wie Litemanager und Remote Manipulator System (RMS). Im Januar beobachteten die Forscher drei weitere UAC-0050 NetSupport-Kampagnen mit derselben Lizenz.

Neben der Lizenz verwendet UAC-0050 auch einen ähnlichen Übertragungsmechanismus wie ZPHP, wobei URLs zu JavaScript-Dateien führen, die eine ZIP-Datei mit der NetSupport-Nutzlast herunterladen. Darüber hinaus ist der von beiden Akteuren verwendete JavaScript-Code ähnlich; während sich die Namenskonventionen für Variablen und Funktionen leicht unterscheiden, ist das Skript selbst funktional identisch.

Die sich überschneidende NetSupport-Konfiguration und die Ähnlichkeit des Codes deuten nicht unbedingt darauf hin, dass die Aktivitäten von demselben Bedrohungsakteur durchgeführt werden. Es ist möglich, dass es eine geknackte oder kommerziell erhältliche Version dieser Nutzlast und der Verteilungsmethode gibt.

Französisches RMM als Ziel

Bluetrait ist eine französische RMM-Software, das in den Daten von Proofpoint nicht häufig beobachtet wird, aber mindestens ein Bedrohungsaktivitätscluster hat Bluetrait seit Oktober 2024 regelmäßig verwendet. Die Kampagnen haben in der Regel ein geringes Volumen und reichen von einer Handvoll bis zu weniger als 500 Nachrichten pro Kampagne. Die Nachrichten sind in der Regel in französischer oder englischer Sprache verfasst und enthalten Köder mit Zahlungsthemen. Proofpoint beobachtete zum Beispiel eine Kampagne am 21. Dezember 2025, bei der es um die Bezahlung von Ticketreservierungen ging.

In dieser Kampagne enthielten die Nachrichten komprimierte MSI-Anhänge, die, wenn sie ausgeführt wurden, Bluetrait installierten. Bei dieser Gruppe von Aktivitäten werden in erster Linie PDFs mit URLs verwendet, die zu einem komprimierten MSI-Anhang führen, und in geringerem Maße auch MSI-Anhänge direkt in der E-Mail. Die MSI-Dateien führen zur Installation von Bluetrait. Bemerkenswert ist, dass dieses Bedrohungscluster auch das Fleetdeck RMM über ähnliche Köder und Methoden verbreitet.

Bewährte Praktiken

Da Bedrohungsakteure zunehmend legitime RMM-Tools in Malware-Kampagnen verwenden, empfiehlt Proofpoint Folgendes:

• Beschränken Sie den Download und die Installation von RMM-Tools, die nicht von den IT-Administratoren eines Unternehmens genehmigt und bestätigt wurden.
• Sorgen Sie für eine Netzwerkerkennung – einschließlich der Verwendung des Emerging Threats-Regelsatzes – und verwenden Sie einen Endpunktschutz. Dadurch können die RMM-Server über jede Netzwerkaktivität informiert werden.
• Schulung der Benutzer, damit sie die Aktivitäten erkennen und verdächtige Aktivitäten an ihre Sicherheitsteams melden können. Diese Schulung kann leicht in ein bestehendes Benutzerschulungsprogramm integriert werden.

Fazit

Proofpoint geht davon aus, dass die Verwendung von RMM-Tools als Nutzlast der ersten Stufe zunehmen wird. Es ist für Bedrohungsakteure relativ einfach, eigene Fernüberwachungs-Tools zu erstellen und zu verbreiten, und da sie oft als legitime Software verwendet werden, sind Endbenutzer möglicherweise weniger misstrauisch bei der Installation von RMMs als bei anderen Fernzugriffs-Trojanern. Außerdem können solche Tools die Virenschutz- oder Netzwerkerkennung umgehen, da es sich bei den Installationsprogrammen häufig um signierte, legitime Nutzdaten handelt, die in böser Absicht verteilt werden.

While threat actors have long used RMMs in campaigns and attack chains, their increasing use as the first payload in email data is noteworthy.  The rise of RMM tools has been accompanied by a decline in high-profile loaders and botnets, which are typically used by first access brokers.

Overview

Threat actors are increasingly using legitimate RMM tools in email campaigns as the first payload in cyberattacks. RMM software is legitimately used in organizations by IT administrators to remotely manage computer fleets. When misused, this software has the same capabilities as remote access trojans (RATs), and financially motivated threats are increasingly delivering RMM tools via email.

In 2024, Proofpoint researchers observed a notable increase in the use of RMM tools by cybercriminal threat actors in documented campaigns, including the use of payloads such as ScreenConnect, Fleetdeck, and Atera. A campaign is defined by Proofpoint as a time-limited series of related threat activities analyzed by Proofpoint researchers. While NetSupport has historically been the most commonly observed RMM in Proofpoint’s campaign data, its use declined in 2024 and other RMMs came to the forefront. This trend continues into 2025.

The increased use of RMM tools is also consistent with a decline in prominent loader and botnet malware, which is most commonly used by cybercrime IABs.

RMMs and IABs

In attacks such as ransomware, RMMs are typically deployed as part of an overall attack chain and observed as a follow-on payload or technique once initial access has been gained. Infection could be triggered by an email payload or other method. The use of RMMs for malicious activity is widespread, and threat actors can abuse these tools in many ways, such as leveraging existing remote management tools in an environment or installing new RMM software on a compromised host to sustain the attack and move laterally.

Threat actors conducting telephone-oriented attacks (TOAD attacks) often use RMM tools. In these attacks, a threat actor sends an email with a phone number either in the body or in an attached PDF file, usually using bills as bait. The recipient is instructed to call the phone number to dispute the bill. However, the phone number belongs to the threat actor, who ultimately instructs the recipient to install an RMM or other malware once they have it on the phone. Typical payloads distributed by TOAD actors include AnyDesk, TeamViewer, Zoho, UltraViewer, NetSupport, and ScreenConnect.

The use of RMMs as a first-stage payload delivered directly via email was not as common as other malware delivery in Proofpoint’s campaign data prior to 2024, with the majority of these campaigns delivering NetSupport since 2022. However, the presence of RMMs in the campaign data increased from mid-2024, with ScreenConnect in particular appearing much more frequently.

Interestingly, the increase in RMMs in Proofpoint’s data coincides with a decrease in the observed loaders and botnets popular in email campaign data with Initial Access Brokers (IABs), which have historically been a large part of the overall threat landscape. Proofpoint has observed that the activity of several tracked IABs has significantly decreased or completely disappeared from email campaign data since mid-2024, including threat actors TA577, TA571, and TA544.

It is likely that these actors are either retooling or using other initial access methods instead of email. For example, TA577 campaigns have been observed leading to Black Basta ransomware. Third-party reports of recent Black Basta incidents indicate that initial access was via social engineering attacks using Microsoft Teams.

The decrease in IAB email threat activity is most likely due to Operation Endgame, a global law enforcement operation that disrupted the infrastructure of IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee, and Trickbot. By limiting access to these major malware families, IAB threat actors were unable to conduct their typical email-based attacks. Overall ransomware payments also declined in the second half of 2024, as reported by blockchain intelligence firm Chainalysis. Payments fell by 35 percent overall in 2024.

Proofpoint does not attribute many of the RMM campaigns to the threat actors it tracks, so the IAB actors the researchers tracked did not necessarily switch to sending RMMs via email. What is interesting, however, is the drastic change in the landscape in 2024 and the increase in new and different threats.

While the volume of RMM campaigns has increased, the volume of messages ranges from a handful to thousands of messages per campaign. However, the total volume of messages is still lower than the IAB’s historical malspam activity.

According to information shared with Proofpoint by Red Canary and DFIR Report, which specializes in tracking and remediating post-exploitation activity, the most popular RMMs used as second-stage payloads are not the same as those most commonly observed as first-stage payloads in Proofpoint’s data. Based on an analysis of detections triggered by emerging threats, according to data from OPNsense users using ETPRO Telemetry Edition, TeamViewer is the most prominent RMM appearing in network activity, followed by Atera and NetSupport, which appear much less frequently in the data.

Campaign examples

TA583

Proofpoint recently named a new threat actor, TA583. TA583 is one of the most prominent threat actors spreading ScreenConnect. He is currently a very active threat actor, running multiple campaigns daily, most of which use this RMM. The campaigns vary in size and scope: Some involve tens of thousands of messages, while others target just a few individuals in Proofpoint’s telemetry.

TA583 is a cybercriminal threat actor whose goal is to gain remote access to target environments. Specific objectives once a system is compromised are beyond Proofpoint’s line of sight, but may include account takeover (ATO), credential theft, data exfiltration, and possibly brokering initial access for other threat actors. Proofpoint has been tracking this actor since 2022 based on email lures, targets, malware used, and network infrastructure, but did not assign a TA number until January 2025.

Prior to mid-2024, this actor primarily used AsyncRAT and rarely used ScreenConnect as a first-stage payload. However, since mid-2024, the actor has primarily used ScreenConnect as an initial access payload. Proofpoint has also seen ScreenConnect download and install AsyncRAT on multiple occasions post-infection, suggesting that the RMM is often used as a loader for other malware.

Most campaigns observed distribute ScreenConnect via URLs, although many also use HTML or PDF attachments. These URLs often use email shortening services and publicly available services such as Dropbox and Bitbucket. This actor routinely uses lures associated with the US Social Security Administration. Other lures observed include the Canada Pension Plan, the U.S. Internal Revenue Service, the U.S. Postal Service (USPS), various telecommunications providers, and others.

For example, on January 6, 2025, Proofpoint identified a campaign impersonating the U.S. Social Security Administration. The messages contained URLs that led to an executable file that, when run, installed ScreenConnect.

Proofpoint has observed that TA583 commonly uses the following methods to deliver email

Free consumer email accounts provided by telecommunications providers

Email marketing and survey platforms (such as Sendgrid, Mailjet, and Qualtrics)

Compromised email accounts

TA583 uses legitimate, signed ScreenConnect installers and uses both DDNS providers and actor-run command and control (C2) servers

TA2725

Other threat actors have used RMM tools as first-stage payloads, including TA2725. TA2725 is a threat actor that Proofpoint has been tracking since March 2022 and is known to use Brazilian banking malware (including Mispadu, Astaroth, and historically Grandoreiro) and credential phishing to attack organizations primarily in Brazil, Mexico, and Spain. TA2725 typically hosts its URL redirector at GoDaddy Virtual Hosting.

In January 2025, TA2725 began using ScreenConnect for the first time. The campaigns included utility bill bait with URLs that led to compressed executables that resulted in the installation of ScreenConnect. These campaigns only targeted organizations in Mexico.

It is likely that more cybercriminal actors will use RMM tools as their first payload as other groups deploy such payloads more frequently and efficiently.

ZPHP and UAC-0050

Although NetSupport is currently less common in Proofpoint’s campaign data, there are still a handful of threat actors distributing it as a first-stage payload via email.

For example, Proofpoint first identified a group of fake update campaigns in June 2023 that lead to the NetSupport RAT. Proofpoint refers to this activity as ZPHP, and it continues on a weekly basis.

The ZPHP inject is a simple script object that is inserted into the HTML code of a compromised website. The payload is downloaded via a base64-encoded zip file. The zipped browser update payload typically contains a JavaScript file that downloads a malicious NetSupport RAT payload to the host. Proofpoint has also seen that the .zip file contains an executable that loads Lumma Stealer.

The current NetSupport configuration includes the following:

Licensee: XMLCTL

Serial Number: NSM303008

Researchers first observed the use of this license by ZPHP in June 2024, and it has been used in ZPHP campaigns since then.

Notably, this license overlaps with NetSupport payloads recently delivered by UAC-0050, a threat actor that typically targets organizations in Ukraine with Remote Access Trojans (RATs). On January 14, 2025, Proofpoint researchers observed this actor delivering zipped PDFs with URLs that ultimately led to the installation of NetSupport with the „XMLCTL“ license. This was the first time Proofpoint observed UAC-0050 delivering NetSupport, as it has used other malware in the past, such as Remcos and Lumma Stealer, as well as RMMs such as Litemanager and Remote Manipulator System (RMS). In January, researchers observed three more UAC-0050 NetSupport campaigns using the same license.

In addition to the license, UAC-0050 also uses a similar delivery mechanism to ZPHP, with URLs pointing to JavaScript files that download a ZIP file containing the NetSupport payload. In addition, the JavaScript code used by both actors is similar; while the naming conventions for variables and functions are slightly different, the script itself is functionally identical.

The overlapping NetSupport configuration and similarity of code does not necessarily indicate that the activities are being carried out by the same threat actor. It is possible that there is a cracked or commercially available version of this payload and distribution method.

French RMM targeted

Bluetrait is a French RMM software that is not frequently observed in Proofpoint’s data, but at least one threat activity cluster has been using Bluetrait regularly since October 2024. The campaigns are typically low volume, ranging from a handful to less than 500 messages per campaign. The messages are typically written in French or English and contain payment related lures. For example, on December 21, 2025, Proofpoint observed a campaign related to paying for ticket reservations.

In this campaign, the messages contained compressed MSI attachments that, when executed, installed Bluetrait.

This group of activities primarily uses PDFs with URLs that lead to a compressed MSI attachment and, to a lesser extent, MSI attachments directly in the email. The MSI files lead to the installation of Bluetrait. It is worth noting that this threat cluster is also spreading the Fleetdeck RMM using similar lures and methods.

Best Practices

As threat actors increasingly use legitimate RMM tools in malware campaigns, Proofpoint recommends the following

– Restrict the download and installation of RMM tools that have not been approved and validated by an organization’s IT administrators.

– Ensure network detection-including the use of the Emerging Threats ruleset-and deploy endpoint protection. This allows RMM servers to be notified of any network activity.

– Train users to recognize activity and report suspicious activity to their security teams. This training can easily be incorporated into an existing user training program.

The bottom line

Proofpoint expects the use of RMM tools as a first-tier payload to increase. It is relatively easy for threat actors to create and distribute their own remote monitoring tools, and because they are often presented as legitimate software, end users may be less wary of installing RMMs than other remote access Trojans. In addition, such tools can evade anti-virus or network detection because the installers are often signed, legitimate payloads distributed with malicious intent.