↑
Правильно, потому что сигнатуры известных средств удаленного управления уже содержатся в антивирусных фильтрах почтовых серверов.
Поэтому RMS как таковые по почте уже не посылают - посылают т.н. "дроппер", программу, которая запустится, и скачает необходимый payload с функционалом remote management непосредственно на рабочее место жертвы.
Подробное раскрытие данного вопроса, боюсь, выходит далеко за рамки одного поста.