El actor de amenaza conocido como Encrypthub Continúa explotando una equivocación de seguridad ahora parecida que afecta a Microsoft Windows para ofrecer cargas avíos maliciosas.
Trustwave SpiderLabs dijo que recientemente observó una campaña CiCrrypThub que reúne la ingeniería social y la explotación de una vulnerabilidad en el ámbito de la consola de dirección de Microsoft (MMC) (CVE-2025-26633, igualmente conocido como MSC Eviltwin) para activar la rutina de infección a través de un archivo Rogue Microsoft Console (MSC).
“Estas actividades son parte de una ola amplia y continua de actividad maliciosa que combina la ingeniería social con la explotación técnica para evitar las defensas de seguridad y obtener control sobre los entornos internos”, dijeron los investigadores de confianza Nathaniel Morales y Nikita Kazymirskyi.
CiCrypThub, igualmente rastreado como Oruga-208 y Water Gamayun, es un peña de piratería ruso que primero ganó prominencia a mediados de 2024. Operando a un parada tempo, la tripulación motivada financieramente es conocida por explotar varios métodos, incluidas las ofertas de trabajo falsas, la revisión de cartera e incluso comprometer los juegos de Steam, para infectar objetivos con malware del robador.
El exceso del actor de la amenaza de CVE-2025-26633 fue documentado previamente por Trend Micro en marzo de 2025, descubriendo ataques que entregan dos traseros llamados Silentprism y Darkwisp.
La última secuencia de ataque involucra al actor de amenaza que afirma ser del área de TI y enviando una solicitud de equipos de Microsoft al objetivo con el objetivo de iniciar una conexión remota e implementar cargas avíos secundarias por medio de los comandos de PowerShell.
Entre los archivos retirados se encuentran dos archivos MSC con el mismo nombre, uno complaciente y el otro bellaco, que se usa para activar CVE-2025-26633, lo que finalmente resulta en la ejecución del archivo MSC de Rogue cuando se venablo su contraparte inocua.
El archivo MSC, por su parte, obtiene y se ejecuta desde un servidor forastero, otro script de PowerShell que recopila información del sistema, establece persistencia en el host y se comunica con un servidor de comando y control de secreto (C2) para cobrar y ejecutar cargas maliciosas, incluido un robador llamado Staaler.
“El script recibe comandos cifrados de AES del atacante, los descifra y ejecuta las cargas avíos directamente en la máquina infectada”, dijeron los investigadores.
Igualmente desplegado por el actor de amenaza en el transcurso del ataque es un cargador basado en GO, llamado SilentCrystal, que abusa de soporte fuerte, una plataforma legítima asociada con el navegador web fuerte, para encajar malware de la próxima etapa, un archivo zip que contiene los dos archivos MSC para componer CVE-2025-26633.
Lo que hace que esto sea significativo es que cargar archivos adjuntos de archivos en la plataforma de soporte fuerte está restringido para los nuevos usuarios, lo que indica que los atacantes lograron de alguna guisa obtener camino no facultado a una cuenta con permisos de carga para extraer el esquema.
Algunas de las otras herramientas implementadas incluyen una puerta trasera de Golang que funciona en modo cliente y servidor para dirigir metadatos del sistema al servidor C2, así como configurar la infraestructura C2 utilizando el protocolo de túnel proxy Socks5.
Igualmente hay evidencia de que los actores de amenaza continúan dependiendo de los señuelos de videoconferencia, esta vez configurando plataformas falsas como Rivatalk para engañar a las víctimas para que descarguen un instalador MSI.
Ejecutar el instalador conduce a la entrega de varios archivos: el binario de instalador antimalware de impulso temprano (ELAM) permitido de Symantec que se usa para colocar un DLL bellaco que, a su vez, venablo un comando PowerShell para descargar y ejecutar otro script de PowerShell.
Está diseñado para compilar información del sistema y exfiltrarla al servidor C2, y retraso las instrucciones encriptadas de PowerShell que se decodifican y ejecutan para dar a los atacantes el control total del sistema. El malware igualmente muestra un mensaje emergente espurio de “Configuración del sistema” como una artimaña, mientras se venablo un trabajo de fondo para producir tráfico de navegador espurio al realizar solicitudes HTTP a sitios web populares para combinar las comunicaciones C2 con actividad de red natural.
“El actor de amenaza de CiCrrypThub representa a un adversario adaptativo y correctamente recubierto, que combina ingeniería social, exceso de plataformas confiables y la explotación de las vulnerabilidades del sistema para prolongar la persistencia y el control”, dijo Trustwave.
“Su uso de plataformas de videoconferencia falsas, estructuras de comando cifradas y conjuntos de herramientas de malware en desarrollo subraya la importancia de las estrategias de defensa en capas, la inteligencia de amenazas continua y la capacitación en conciencia del legatario”.
