Hackers Russos exploram CVE-2025-26633 com MSC EvilTwin para Implantar SilentPrism e DarkWisp
- Cyber Security Brazil
- 31 de mar.
- 3 min de leitura
Os hackers por trás da exploração de um zero-day recentemente corrigido no Microsoft Windows foram identificados como responsáveis pela distribuição de dois novos backdoors chamados SilentPrism e DarkWisp.
As atividades foram atribuídas a um suposto grupo hacker russo chamado Water Gamayun, também conhecido como EncryptHub e LARVA-208.
"O invasor implanta os payloads principalmente por meio de pacotes de provisionamento maliciosos, arquivos .msi assinados e arquivos MSC do Windows, utilizando técnicas como o runnerw.exe do IntelliJ para execução de comandos", afirmaram os pesquisadores da Trend Micro, Aliakbar Zahravi e Ahmed Mohamed Ibrahim, em uma análise publicada na semana passada.
O grupo tem sido associado à exploração ativa da vulnerabilidade CVE-2025-26633, também chamada de MSC EvilTwin, que afeta o framework Microsoft Management Console (MMC). Essa falha permite a execução de malware por meio de arquivos Microsoft Console (.msc) maliciosos.
A cadeia de ataque envolve o uso de pacotes de provisionamento (.ppkg), instaladores do Windows (.msi) e arquivos .msc para distribuir ladrões de informações e backdoors com capacidade de persistência e roubo de dados.
O grupo EncryptHub chamou atenção no fim de junho de 2024, após utilizar um repositório falso no GitHub com o nome “encrypthub” para disseminar diversas famílias de malware — incluindo stealers, miners e ransomwares — por meio de um site falso do WinRAR. Desde então, os hackers passaram a usar sua própria infraestrutura tanto para staging quanto para command-and-control (C&C).
Os instaladores .msi usados nos ataques se passam por softwares legítimos de mensagens e reuniões, como DingTalk, QQTalk e VooV Meeting. Esses instaladores executam um script PowerShell que baixa e roda o próximo estágio do malware na máquina comprometida.
Um desses malwares é o SilentPrism, um implante em PowerShell que estabelece persistência, executa múltiplos comandos em paralelo e mantém controle remoto do sistema, além de empregar técnicas de evasão para evitar detecção. Outro backdoor importante é o DarkWisp, que realiza reconhecimento do sistema, exfiltra dados sensíveis e se mantém ativo no dispositivo.
"Uma vez que o malware exfiltra informações de reconhecimento e do sistema para o servidor de C&C, ele entra em um loop contínuo aguardando comandos", explicam os pesquisadores. "Os comandos são recebidos via conexão TCP na porta 8080, no formato COMMAND|<comando_codificado_em_base64>".
Esse loop de comunicação garante uma interação constante com o servidor, tratando comandos, mantendo a conectividade e transmitindo os resultados de forma segura.
O terceiro payload envolvido nos ataques é o MSC EvilTwin Loader, que explora a CVE-2025-26633 para executar um arquivo .msc malicioso e, por fim, implantar o Rhadamanthys Stealer. O loader também executa uma limpeza no sistema para evitar rastros forenses.
Além do Rhadamanthys, o grupo Water Gamayun também tem utilizado outros ladrões de informações, como o StealC, além de três variantes personalizadas em PowerShell chamadas EncryptHub Stealer A, B e C.
Esse stealer personalizado é altamente completo, sendo capaz de coletar uma grande quantidade de informações, como detalhes sobre software antivírus, programas instalados, adaptadores de rede, aplicações em execução, senhas de Wi-Fi, chaves do Windows, histórico da área de transferência, credenciais de navegador e dados de sessão de apps de mensagens, VPN, FTP e gerenciadores de senhas.
Além disso, o malware busca arquivos com palavras-chave e extensões específicas, demonstrando foco especial na obtenção de frases de recuperação de carteiras de criptomoedas.
“As variantes compartilham funcionalidades semelhantes, com apenas pequenas modificações entre elas”, observaram os pesquisadores. “Todas as variantes do EncryptHub analisadas são versões modificadas do Kematian Stealer, um projeto de código aberto”.
Uma versão do EncryptHub Stealer se destaca pelo uso de uma técnica LOLBin (living-off-the-land binary), em que o launcher “runnerw.exe” do IntelliJ é utilizado para executar remotamente um script PowerShell no sistema infectado.
Esses artefatos de stealer, distribuídos via pacotes MSI maliciosos ou dropper de binários, também disseminam outras famílias de malware como Lumma Stealer, Amadey e clippers.
A análise da infraestrutura de C&C do invasor (IP: 82.115.223[.]182) revelou o uso de scripts PowerShell para baixar e executar o AnyDesk e enviar comandos remotos codificados em Base64 para as máquinas das vítimas.
"O uso de diferentes métodos de entrega e técnicas pelo Water Gamayun — como o envio de payloads maliciosos através de instaladores assinados e o uso de LOLBins — evidencia a capacidade de adaptação dos hackers para comprometer sistemas e roubar dados", concluiu a Trend Micro."A estrutura bem elaborada dos payloads e da infraestrutura de C&C permite ao invasor manter persistência, controlar dinamicamente os sistemas infectados e ocultar suas atividades."
Via - THN
Comments