Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Vulnerabilidad Vulnerabilidad CVE-2025-26633

Vulnerabilidad CVE-2025-26633

Por Mezo en Vulnerabilidad, Amenaza persistente avanzada (APT)
Traducir a:
Español

Water Gamayun ha estado explotando activamente CVE-2025-26633 (también conocida como MSC EvilTwin), una vulnerabilidad en el marco de Microsoft Management Console (MMC), para ejecutar malware utilizando archivos falsos de Microsoft Console (.msc).

Nuevas puertas traseras: SilentPrism y DarkWisp

Los ciberdelincuentes responsables de este ataque de día cero han implementado dos sofisticadas puertas traseras: SilentPrism y DarkWisp. Estas herramientas facilitan la persistencia, el reconocimiento del sistema y el control remoto, lo que las convierte en potentes herramientas para el espionaje y el robo de datos. La operación se ha atribuido a un grupo de hackers vinculado a Rusia conocido como Water Gamayun, también conocido como EncryptHub y LARVA-208.

Métodos de ataque: Aprovisionamiento de paquetes e instaladores MSI

Water Gamayun distribuye principalmente cargas útiles mediante paquetes de aprovisionamiento fraudulentos, archivos .msi firmados y archivos MSC. Emplean técnicas como el proceso runnerw.exe de IntelliJ para la ejecución de comandos, lo que aumenta el sigilo y la eficacia.

La evolución de la distribución de malware de EncryptHub

Inicialmente, EncryptHub captó la atención en junio de 2024 cuando utilizó un repositorio de GitHub para distribuir diversas familias de malware a través de un sitio web falso de WinRAR. Desde entonces, han adoptado su propia infraestructura para el staging y las operaciones de Comando y Control (C&C).

Haciéndose pasar por software legítimo

Water Gamayun camufla su malware en instaladores .msi que se hacen pasar por aplicaciones genuinas como DingTalk, QQTalk y VooV Meeting. Estos instaladores ejecutan un descargador de PowerShell que recupera y ejecuta cargas útiles de siguiente etapa en los sistemas comprometidos.

SilentPrism y DarkWisp: implantes sigilosos de PowerShell

SilentPrism es un implante basado en PowerShell que establece persistencia, ejecuta múltiples comandos de shell y evade la detección mediante técnicas antianálisis.

DarkWisp, otra puerta trasera de PowerShell, se especializa en el reconocimiento del sistema, la exfiltración de datos y el mantenimiento del acceso a largo plazo a las máquinas infectadas.

Comunicación C&C y ejecución de comandos

Una vez infectado, el malware filtra datos de reconocimiento al servidor C&C y entra en un bucle continuo, esperando comandos a través del puerto TCP 8080. Los comandos llegan en formato COMMAND|, lo que garantiza una interacción y un control continuos sobre el sistema de la víctima.

Cargador MSC EvilTwin: Despliegue del ladrón Rhadamanthys

Una de las cargas útiles más preocupantes en esta cadena de ataque es el cargador MSC EvilTwin, que explota la vulnerabilidad CVE-2025-26633 para ejecutar archivos .msc maliciosos. Esto, en última instancia, conduce a la implementación de Rhadamanthys Stealer , un conocido malware diseñado para el robo de datos.

Ampliando el arsenal: más ladrones y variantes personalizadas

Water Gamayun no depende únicamente de Rhadamanthys. También distribuye StealC y tres ladrones de archivos personalizados basados en PowerShell: las variantes A, B y C de EncryptHub Stealer. Estas variantes, basadas en el Kematian Stealer de código abierto, extraen gran cantidad de datos del sistema, incluyendo información sobre antimalware, software instalado, configuraciones de red y aplicaciones en ejecución.

Criptomonedas y datos confidenciales en la mira

El malware ladrón recopila una amplia gama de credenciales, como contraseñas de Wi-Fi, claves de producto de Windows, datos del navegador y el historial del portapapeles. Cabe destacar que busca explícitamente archivos relacionados con monederos de criptomonedas, lo que indica su intención de recopilar frases de recuperación y activos financieros.

Técnicas de vida silvestre para el sigilo

Una característica única de una variante de EncryptHub Stealer es el uso de una técnica de binarios de "living off-the-land" (LOLBin). Aprovecha el archivo runnerw.exe de IntelliJ para representar la ejecución de scripts remotos de PowerShell, lo que ofusca aún más su actividad.

Propagación de malware a través de múltiples canales

Se ha descubierto que los paquetes MSI amenazantes y los droppers binarios de Water Gamayun distribuyen familias de malware adicionales, incluidos Lumma Stealer , Amadey y varios clippers centrados en criptomonedas.

Infraestructura de C&C: Control remoto mediante PowerShell

El análisis de la infraestructura de C&C de Water Gamayun (en particular, 82.115.223[.]182) reveló que utilizan scripts de PowerShell para descargar y ejecutar el software AnyDesk para acceso remoto. También envían comandos remotos codificados en Base64 a las máquinas víctimas para un control total.

Adaptable y persistente: el panorama de amenazas del Gamayun acuático

El uso de múltiples vectores de ataque por parte de Water Gamayun, incluyendo archivos MSI firmados, LOLBins y cargas útiles personalizadas, pone de manifiesto su adaptabilidad para vulnerar sistemas. Su sofisticada infraestructura de C&C le permite mantener una persistencia a largo plazo mientras evade las investigaciones forenses.

Video Vulnerabilidad CVE-2025-26633

Consejo: encienda el sonido y mire el video en modo de pantalla completa .

Tendencias

Estafa por correo electrónico de pago atrasado

Suplantación de identidad (phishing), Correo basura
Las ciberamenazas evolucionan a diario, y los estafadores idean constantemente nuevas tácticas para explotar a personas desprevenidas. Una de estas estrategias, la estafa de correo electrónico de pagos vencidos, se aprovecha de las víctimas atrayéndolas con reclamos falsos de dinero no reclamado. Comprender cómo funciona esta táctica es crucial para protegerse y proteger a los demás de pérdidas...

Mas Visto

Cargando...