De dreigingsacteur die bekend staat als EncryPThub, benutte een recent afgestudeerde beveiligingskwetsbaarheid in Microsoft Windows als een nul-dag om een breed scala aan malwarefamilies te leveren, waaronder backdoors en informatiestealers zoals Rhadamanthys en Stealc.
“In deze aanval manipuleert de dreigingsacteur .MSC -bestanden en het meertalige gebruikersinterfacepad (Muipath) om kwaadaardige lading te downloaden en uit te voeren, persistentie te behouden en gevoelige gegevens van geïnfecteerde systemen te behouden”, zei Trend Micro -onderzoeker Aliakbar Zahravi in een analyse.
De kwetsbaarheid in kwestie is CVE-2025-26633 (CVSS-score: 7.0), beschreven door Microsoft als een onjuiste neutralisatie-kwetsbaarheid in Microsoft Management Console (MMC) waarmee een aanvaller een beveiligingsfunctie lokaal kan omzeilen. Het werd eerder deze maand door het bedrijf opgelost als onderdeel van de Patch Tuesday Update.
Trend Micro heeft de exploit de naam MSC Eviltwin gegeven, waarbij het vermoedelijke Russische activiteitscluster wordt gevolgd onder de naam Water Gamayun. De dreigingsacteur, onlangs het onderwerp van analyses van PRADAFT en OUTPOST24, wordt ook wel larve-208 genoemd.
CVE-2025-26633, in de kern, maakt gebruik van het Microsoft Management Console Framework (MMC) om een kwaadaardig Microsoft Console (.MSC) -bestand uit te voeren door middel van een PowerShell-lader die MSC Eviltwin-lader wordt genoemd.
In het bijzonder gaat het om de lader twee .msc-bestanden te maken met dezelfde naam: één schoon bestand en de schurkentagepartij die op dezelfde locatie wordt gedropt, maar binnen een map met de naam “en-US”. Het idee is dat wanneer de eerste wordt uitgevoerd, MMC in plaats daarvan onbedoeld het kwaadaardige bestand kiest en het uitvoert. Dit wordt bereikt door MMC’s meertalige gebruikersinterfacepad (MUIPAD) te benutten.
“Door te misbruiken van de manier waarop MMC.exe Muipath gebruikt, kan de aanvaller Muipath en-US uitrusten met een kwaadaardig .msc-bestand, waardoor de MMC.exe dit kwaadaardige bestand laadt in plaats van het originele bestand en zonder de kennis van het slachtoffer wordt uitgevoerd,” legde Zahravi uit.
Encryphub is ook waargenomen om twee andere methoden aan te nemen om kwaadaardige payload uit te voeren op een geïnfecteerd systeem met .MSC -bestanden –
- Met behulp van de ExecuteshellCommand-methode van MMC om een payload op de volgende fase op de machine van het slachtoffer te downloaden en uit te voeren, een aanpak die eerder is gedocumenteerd door het Nederlandse cybersecuritybedrijf dat in augustus 2024 is uitgestoken
- Het gebruik van mock vertrouwde mappen zoals “C: Windows System32” (let op de ruimte na Windows) om de gebruikersaccountcontrole (UAC) te omzeilen en een kwaadaardig .msc -bestand te laten vallen met de naam “WMIMGMT.MSC”
Trend Micro zei dat de aanvalsketens waarschijnlijk beginnen met slachtoffers die digitaal ondertekende Microsoft Installer (MSI) -bestanden downloaden die zich voordoen als legitieme Chinese software zoals Dingtalk of QQTalk, die vervolgens wordt gebruikt om de lader van een externe server op te halen en uit te voeren. Er wordt gezegd dat de dreigingsacteur sinds april 2024 met deze technieken experimenteert.
“Deze campagne staat onder actieve ontwikkeling; het maakt gebruik van meerdere leveringsmethoden en aangepaste payloads die zijn ontworpen om persistentie te behouden en gevoelige gegevens te stelen en deze vervolgens te exfiltreren naar de command-and-control (C&C) servers van de aanvallers,” zei Zahravi.
