El actor de amenaza conocido como CiCrypThub explotó una vulnerabilidad de seguridad recientemente rompida en Microsoft Windows como un día cero para ofrecer una amplia viso de familias de malware, incluidas las puertas traseras y los robos de información como Rhadamanthys y Stealc.
«En este ataque, el actor de amenaza manipula los archivos .msc y la ruta de interfaz de afortunado multilingüe (Muipath) para descargar y ejecutar la carga útil maliciosa, permanecer la persistencia y robar datos confidenciales de sistemas infectados», dijo el investigador de Trend Micro Aliakbar Zahravi en un exploración.
La vulnerabilidad en cuestión es CVE-2025-26633 (puntaje CVSS: 7.0), descrito por Microsoft como una vulnerabilidad de neutralización inadecuada en la consola de compañía de Microsoft (MMC) que podría permitir a un atacante evitar una función de seguridad localmente. La compañía lo solucionó a principios de este mes como parte de su puesta al día del parche martes.
Trend Micro ha regalado la exploit al apodo MSC Eviltwin, rastreando el supuesto reunión de actividades rusas bajo el nombre de Water Gamayun. El actor de amenaza, recientemente el tema de los exploración de ProDaft y Outpost24, además se fogosidad LARVA-208.
CVE-2025-26633, en su núcleo, aprovecha el situación de la consola de compañía de Microsoft (MMC) para ejecutar un archivo de consola de Microsoft (.msc) solapado por medio de un cargador PowerShell conocido como cargador MSC eviltwin.
Específicamente, implica que el cargador cree dos archivos .msc con el mismo nombre: un archivo noble y su contraparte insurrecto que se elimina en la misma ubicación pero adentro de un directorio llamado «EN-US». La idea es que cuando se ejecuta el primero, MMC elige inadvertidamente el archivo solapado y lo ejecuta. Esto se logra explotando la función de ruta de interfaz de afortunado multilingüe de MMC (MUIPATH).
«Al extralimitarse de la forma en que MMC.exe usa a Muipath, el atacante puede equipar a Muipath En-US con un archivo .msc solapado, que causa que el MMC.exe cargue este archivo solapado en oportunidad del archivo llamativo y se ejecute sin el conocimiento de la víctima», explicó Zahravi.
Igualmente se ha observado que CiCrryPTHUB adopta otros dos métodos para ejecutar la carga útil maliciosa en un sistema infectado utilizando archivos .msc –
- Utilizando el método ExecureHellCommand de MMC para descargar y ejecutar una carga útil de la próxima etapa en la máquina de la víctima, un enfoque previamente documentado por la compañía holandesa de seguridad cibernética en agosto de 2024
- Uso de directorios de confianza simulada como «C: Windows System32» (tenga en cuenta el espacio a posteriori de Windows) para evitar el control de la cuenta del afortunado (UAC) y soltar un archivo .msc solapado llamado «wmimgmt.msc»
Trend Micro dijo que las cadenas de ataque probablemente comienzan con las víctimas que descargan archivos de instalador de Microsoft (MSI) firmados digitalmente que se hacen acontecer por software chino permitido como DingTalk o QqTalk, que luego se usa para obtener y ejecutar el cargador desde un servidor remoto. Se dice que el actor de amenaza ha estado experimentando con estas técnicas desde abril de 2024.
«Esta campaña está en expansión activo; emplea múltiples métodos de entrega y cargas enseres personalizadas diseñadas para permanecer la persistencia y robar datos confidenciales, luego exfiltrarlo a los servidores de comando y control (C&C) de los atacantes», dijo Zahravi.
