Se ha incompatible que los actores de amenaza detrás de la explotación de un día cero de una vulnerabilidad de seguridad recientemente parada en Microsoft Windows entregan dos nuevas puertas traseras llamadas Precio silencioso y Darkwisp.
La actividad se ha atribuido a un supuesto corro de piratería ruso llamado Water Gamayun, que incluso se conoce como CiCrryPTHUB y LARVA-208.
“El actor de amenaza despliega las cargas enseres principalmente mediante paquetes de aprovisionamiento zorro, archivos .msi firmados y archivos de MSC de Windows, utilizando técnicas como IntelliJ Runnerw.exe para la ejecución de comandos”, dijeron las tendencia a los micro investigadores Aliakbar Zahravi y Ahmed Mohamed Ibrahim en un examen de seguimiento publicado la semana pasada.
Water Gamayun se ha vinculado a la explotación activa del CVE-2025-26633 (incluso conocido como MSC Eviltwin), una vulnerabilidad en el situación de la consola de filial de Microsoft (MMC), para ejecutar malware por medio de un archivo Rogue Microsoft Console (.msc).
Las cadenas de ataque implican el uso de paquetes de aprovisionamiento (.ppkg), archivos de instalador de Microsoft Windows firmados (.msi) y archivos .msc para entregar información de robos y puertas traseras que son capaces de persistencia y robo de datos.
CiCrypThub llamó la atención a fines de junio de 2024, a posteriori de sobrevenir usado un repositorio de GitHub llamado “CiCryPTHUB” para impulsar varios tipos de familias de malware, incluidos robos, mineros y ransomware, a través de un sitio web simulado de Winrar. Desde entonces, los actores de amenaza han hecho la transición a su infraestructura tanto para la puesta en campo como para los fines de comando y control (C&C).
Los instaladores .msi utilizados en los ataques se preparan como software verdadero de transporte y reunión como Dingtalk, QQTalk y VOOV Reunión. Están diseñados para ejecutar un descargador de PowerShell, que luego se usa para obtener y ejecutar la carga útil de la próxima etapa en un host comprometido.
Uno de estos malware es un implante de PowerShell denominado SilentPrism que puede configurar la persistencia, ejecutar múltiples comandos de shell simultáneamente y prolongar el control remoto, al tiempo que incorpora técnicas anti-análisis para sortear la detección. Otra puerta trasera de PowerShell es DarkWisp, que permite el registro del sistema, la exfiltración de datos confidenciales y la persistencia.
“Una vez que el malware exfiltra el registro y la información del sistema al servidor C&C, ingresa a un rizo continuo esperando comandos”, dijeron los investigadores. “El malware acepta comandos a través de una conexión TCP en el puerto 8080, donde llegan los comandos en el comando de formato |
“El rizo de comunicación principal garantiza una interacción continua con el servidor, manejar comandos, prolongar la conectividad y transmitir de forma segura los resultados”.
La tercera carga útil que se redujo en los ataques es el cargador MSC Eviltwin que armaba CVE-2025-26633 para ejecutar un archivo .msc zorro, lo que finalmente conduce al despliegue del robador de Rhadamanthys. El cargador incluso está diseñado para realizar una honradez del sistema para evitar dejar un sendero forense.
Rhadamanthys está allí de ser el único robador en el atarazana de Gamayun de Water, ya que se ha observado que entrega otro robador de productos llamados STEALC, así como tres variantes personalizadas de PowerShell denominadas Variant A, variantes B y variantes.
El Stealer a medida es un malware totalmente característico que puede resumir información extensa del sistema, incluidos detalles sobre el software antivirus, el software instalado, los adaptadores de red y las aplicaciones en ejecución. Igualmente extrae contraseñas de Wi-Fi, claves de productos de Windows, historial de portapapeles, credenciales de navegador y datos de sesión de varias aplicaciones relacionadas con mensajes, VPN, FTP y filial de contraseñas.
Por otra parte, destaca específicamente archivos que coinciden con ciertas palabras secreto y extensiones, lo que indica un enfoque en resumir frases de recuperación asociadas con billeteras de criptomonedas.
“Estas variantes exhiben funcionalidades y capacidades similares, con solo modificaciones menores que las distinguen”, señalaron los investigadores. “Todas las variantes de CiCrypThub cubiertas en esta investigación son versiones modificadas del robador kematiano de código hendido”.
Una iteración del robador de secreto es extraordinario para el uso de una nueva técnica binaria viva-de la tierra (LOLBIN) en la que el atleta de procesos IntelliJ “Runnerw.exe” se utiliza para obtener la ejecución de un script de PowerShell remoto en un sistema infectado.
Igualmente se ha incompatible que los artefactos del robador, distribuidos a través de paquetes MSI maliciosos o gotas de malware binarias, propagan a otras familias de malware como Lumma Stealer, Amadey y Clippers.
El examen posterior de la infraestructura C&C del actor de amenaza (“82.115.223 (.) 182”) ha revelado el uso de otros scripts de PowerShell para descargar y ejecutar el software Anydesk para comunicación remoto y la capacidad de los operadores para cursar comandos remotos codificados Base64 a la máquina de víctimas.
“El uso de Water Gamayun de varios métodos y técnicas de entrega en su campaña, como el aprovisionamiento de cargas enseres maliciosas a través de archivos de instalador de Microsoft firmados y aprovechando LOLBins, resalta su adaptabilidad para comprometer los sistemas y datos de las víctimas”, dijo Trend Micro.
“Sus cargas enseres intrincadamente diseñadas y la infraestructura de C&C permiten al actor de amenaza prolongar la persistencia, controlar dinámicamente los sistemas infectados y ofuscar sus actividades”.
