Un actor de amenaza conocido como CiCryPThub continúa proporcionando cargas útiles maliciosas al explotar fallas de seguridad que actualmente mantienen parches que afectan a Microsoft Windows.
Trustwave SpiderLabs dijo que recientemente había observado una campaña de Enliptob que vincula la explotación de vulnerabilidades en el marco de la consola de administración de Microsoft (MMC) (CVE-2025-26633, también conocido como MSC Eviltwin) a una vulnerabilidad para activar las rutinas de infección a través de los archivos Rogue Microsoft (MSC).
«Estas actividades son parte de una amplia gama de actividades maliciosas continuas que evitan las defensas de la ingeniería social y la seguridad y fusionan la explotación tecnológica para controlar el entorno interno», dijeron los investigadores de confianza Nathaniel Morales y Nikita Kazymirskyi.
CiCrypThub es un grupo de piratería ruso que también fue rastreado como Larva-208 y Water Gamayun y se hizo prominente por primera vez a mediados de 2024. El equipo de motivación financiera opera a un alto tempo y es conocido por infectar objetivos con malware Steeler, utilizando varios métodos, incluidas ofertas de trabajo falsas, revisiones de cartera e incluso formas de comprometer los juegos de vapor.
El abuso del actor de amenaza CVE-2025-26633 fue registrado previamente por Trend Micro en marzo de 2025, y descubrió un ataque que ofreció dos puertas traseras llamadas Silentprism y Darkwisp.
La última secuencia de ataque incluye a los actores de amenaza que afirman ser del departamento de TI y envían solicitudes al objetivo con el objetivo de los equipos de Microsoft que lanzan conexiones remotas e implementan cargas útiles secundarias utilizando comandos de PowerShell.
Dentro de los archivos eliminados hay dos archivos MSC con el mismo nombre. Uno es benigno y malicioso. Esto se utiliza para activar CVE-2025-26633, y en última instancia se ejecutará un archivo MSC incorrecto cuando se inicie la contraparte inofensiva.
Para esa parte, el archivo MSC se comunica con el servidor CiCryPThub Command and Control (C2) para recopilar información del sistema de un servidor externo, establecer la persistencia del host y para recibir y ejecutar una carga útil maliciosa que incluye robo, conocido como robador voluble.
«El script recibe comandos encriptados de AES del atacante, los descifra y ejecuta la carga útil directamente en la máquina infectada», dijeron los investigadores.
También desplegado por los actores de amenaza en el curso del ataque es CVE-2025-26633, que abusó de valiente soporte, una plataforma legítima asociada con el navegador web valiente, un archivo zip que contiene dos archivos MSC para armarse GO-2025-26633.
Lo importante es que cargar archivos adjuntos de archivos a la plataforma de soporte valiente está restringido a nuevos usuarios, lo que indica que los atacantes tienen acceso no autorizado a cuentas con permisos de carga para separar el esquema.
Otras herramientas implementadas incluyen una puerta trasera de Golang que funciona en los modos del cliente y del servidor para enviar metadatos del sistema al servidor C2, y establece la infraestructura C2 utilizando el protocolo de túnel proxy SOCKS5.
También hay evidencia de que los actores de amenaza continúan dependiendo de los señuelos de videoconferencia. Esta vez, configuraremos una plataforma falsa como Rivatalk y descargaremos el instalador MSI para engañar a la víctima.
Ejecutar el instalador entregará algunos archivos. Los binarios legales de instalación antimalware (ELAM) de prevención de incendios tempranos de Symantec se utilizan para darle vueltas a DLL maliciosas.
Está diseñado para recopilar información del sistema y eliminarla en un servidor C2, esperando las instrucciones encriptadas de PowerShell que se decodifican y ejecutan para que un atacante tenga control total sobre el sistema. El malware inicia un trabajo de fondo que genera tráfico de navegador falso al mostrar mensajes emergentes falsos de «configuración del sistema» como articulaciones y crear solicitudes HTTP en sitios web populares para combinar las comunicaciones C2 con actividad de red normal.
«Los actores de amenaza de Enliptob representan enemigos altamente recursos y adaptables, combinando la ingeniería social, el abuso de plataformas confiables y la explotación de vulnerabilidades en los sistemas para mantener la sostenibilidad y el control», dijo Trustwave.
«El uso de plataformas de videoconferencia falsas, estructuras de comando cifradas y conjuntos de herramientas de malware en evolución destacan la importancia de las estrategias de defensa en capas, la inteligencia continua de amenazas y la capacitación cognitiva de los usuarios».
Source link
