El actor de amenaza conocido como CiCrypThub explotó una vulnerabilidad de seguridad recientemente rompida en Microsoft Windows como un día cero para ofrecer una amplia variedad de familias de malware, incluidas las puertas traseras y los robos de información como Rhadamanthys y Stealc.
“En este ataque, el actor de amenaza manipula los archivos .msc y la ruta de interfaz de becario multilingüe (Muipath) para descargar y ejecutar la carga útil maliciosa, ayudar la persistencia y robar datos confidenciales de sistemas infectados”, dijo el investigador de Trend Micro Aliakbar Zahravi en un examen.
La vulnerabilidad en cuestión es CVE-2025-26633 (puntaje CVSS: 7.0), descrito por Microsoft como una vulnerabilidad de neutralización inadecuada en la consola de sucursal de Microsoft (MMC) que podría permitir a un atacante evitar una función de seguridad localmente. La compañía lo solucionó a principios de este mes como parte de su modernización del parche martes.
Trend Micro ha poliedro la exploit al apodo MSC Eviltwin, rastreando el supuesto rama de actividades rusas bajo el nombre de Water Gamayun. El actor de amenaza, recientemente el tema de los examen de ProDaft y Outpost24, incluso se candela LARVA-208.
CVE-2025-26633, en su núcleo, aprovecha el ámbito de la consola de sucursal de Microsoft (MMC) para ejecutar un archivo de consola de Microsoft (.msc) malvado por medio de un cargador PowerShell conocido como cargador MSC eviltwin.
Específicamente, implica que el cargador cree dos archivos .msc con el mismo nombre: un archivo honrado y su contraparte contraria que se elimina en la misma ubicación pero en el interior de un directorio llamado “EN-US”. La idea es que cuando se ejecuta el primero, MMC elige inadvertidamente el archivo malvado y lo ejecuta. Esto se logra explotando la función de ruta de interfaz de becario multilingüe de MMC (MUIPATH).
“Al violar de la forma en que MMC.exe usa a Muipath, el atacante puede equipar a Muipath En-US con un archivo .msc malvado, que causa que el mmc.exe cargue este archivo malvado en área del archivo flamante y se ejecute sin el conocimiento de la víctima”, explicó Zahravi.
Igualmente se ha observado que CiCrryPTHUB adopta otros dos métodos para ejecutar la carga útil maliciosa en un sistema infectado utilizando archivos .msc –
- Utilizando el método ExecureHellCommand de MMC para descargar y ejecutar una carga útil de la próxima etapa en la máquina de la víctima, un enfoque previamente documentado por la compañía holandesa de seguridad cibernética en agosto de 2024
- Uso de directorios de confianza simulada como “C: Windows System32” (tenga en cuenta el espacio a posteriori de Windows) para evitar el control de la cuenta del becario (UAC) y soltar un archivo .msc malvado llamado “wmimgmt.msc”
Trend Micro dijo que las cadenas de ataque probablemente comienzan con las víctimas que descargan archivos de instalador de Microsoft (MSI) firmados digitalmente que se hacen acontecer por software chino lícito como DingTalk o QqTalk, que luego se usa para obtener y ejecutar el cargador desde un servidor remoto. Se dice que el actor de amenaza ha estado experimentando con estas técnicas desde abril de 2024.
“Esta campaña está en mejora activo; emplea múltiples métodos de entrega y cargas aperos personalizadas diseñadas para ayudar la persistencia y robar datos confidenciales, luego exfiltrarlo a los servidores de comando y control (C&C) de los atacantes”, dijo Zahravi.
