De dreigingsacteurs achter de zero-day exploitatie van een recent afgestudeerde beveiligingslek in Microsoft Windows is gevonden om twee nieuwe backdoors te leveren, genaamd Silentprism En Darkwisp.
De activiteit is toegeschreven aan een vermoedelijke Russische hackgroep genaamd Water Gamayun, die ook bekend staat als Encryphub en larve-208.
“De dreigingsacteur implementeert payloads voornamelijk door middel van kwaadaardige provisioningpakketten, ondertekende .msi-bestanden en Windows MSC-bestanden, met behulp van technieken zoals de IntelliJ Runnerw.exe voor commando-uitvoering,” Trend Micro-onderzoekers Aliakbar Zahravi en Ahmed Mohamed Ibrahim zei in een vervolganalyse gepubliceerd.
Water Gamayun is gekoppeld aan de actieve exploitatie van CVE-2025-26633 (aka MSC Eviltwin), een kwetsbaarheid in het Microsoft Management Console (MMC) framework, om malware uit te voeren door middel van een Rogue Microsoft Console (.MSC) -bestand.
De aanvalsketens omvatten het gebruik van Provisioning -pakketten (.PPKG), ondertekende Microsoft Windows -installatiebestanden (.msi) en .msc -bestanden om informatie -stealers en achterdeuren te leveren die in staat zijn tot doorzettingsvermogen en gegevensdiefstal.
Encryphub kreeg de aandacht voor eind juni 2024, nadat hij een Github -repository met de naam “Encryphub” had gebruikt om verschillende soorten malwarefamilies, waaronder stealers, mijnwerkers en ransomware, te hebben aangedrongen via een nep Winrar -website. De dreigingsactoren zijn sindsdien overgegaan naar hun infrastructuur voor zowel enscenering als command-and-control (C&C).
De .msi -installateurs die werden gebruikt bij de aanvallen Masquerade als legitieme berichten- en ontmoetingssoftware zoals Dingtalk, Qqtalk en VoOV -bijeenkomst. Ze zijn ontworpen om een PowerShell-downloader uit te voeren, die vervolgens wordt gebruikt om de payload op de volgende fase op een gecompromitteerde host op te halen en uit te voeren.
Een dergelijke malware is een PowerShell-implantaat dat Silentprism wordt genoemd dat persistentie kan opzetten, meerdere shell-opdrachten tegelijkertijd kan uitvoeren en afstandsbediening kan behouden, terwijl ook anti-analysetechnieken worden opgenomen om detectie te ontwijken. Een andere PowerShell -achterdeur van opmerking is Darkwisp, die systeemverkenning, exfiltratie van gevoelige gegevens en persistentie mogelijk maakt.
“Zodra de malware verkennings- en systeeminformatie naar de C & C -server wordt geëxfiltreert, komt het een continue lus in die wacht op opdrachten,” zeiden de onderzoekers. “De malware accepteert opdrachten via een TCP -verbinding op poort 8080, waarbij opdrachten aankomen in de opdracht opmaak |
“De hoofdcommunicatielus zorgt voor continue interactie met de server, hanteert opdrachten, handhaven connectiviteit en verzend resultaten veilig.”
De derde payload die in de aanvallen is gedaald, is de MSC Eviltwin-lader die CVE-2025-26633 bewapent om een kwaadaardig .msc-bestand uit te voeren, wat uiteindelijk leidt tot de implementatie van de Rhadamanthys Stealer. De lader is ook ontworpen om een opruiming van het systeem uit te voeren om te voorkomen dat een forensisch pad achterblijft.
Rhadamanthys is verre van de enige stealer in het arsenaal van Water Gamayun, want het is waargenomen bij het leveren van een andere grondstoffenstaler genaamd Stealc, evenals drie aangepaste powershell -varianten die Encryphub Stealer -variant A, variant B en variant C en variant C en variant.
De op maat gemaakte Stealer is volledig geteisterde malware die uitgebreide systeeminformatie kan verzamelen, inclusief details over antivirussoftware, geïnstalleerde software, netwerkadapters en uitvoerende applicaties. Het extraheert ook Wi-Fi-wachtwoorden, Windows-productsleutels, klembordgeschiedenis, browserreferenties en sessiegegevens van verschillende apps met betrekking tot berichten, VPN, FTP en wachtwoordbeheer.
Bovendien stelt het specifiek bestanden uit die overeenkomen met bepaalde zoekwoorden en extensies, wat een focus aangeeft op het verzamelen van herstelzinnen die zijn gekoppeld aan cryptocurrency -portefeuilles.
“Deze varianten vertonen vergelijkbare functionaliteiten en mogelijkheden, met slechts kleine wijzigingen die ze onderscheiden,” merkten de onderzoekers op. “Alle in dit onderzoek behandelde encrypthub-varianten zijn gemodificeerde versies van de open-source Kematiaanse stealer.”
Eén iteratie van Encryphub Stealer is opmerkelijk voor het gebruik van een nieuwe Living-Off-The-Land Binary (Lolbin) -techniek waarin de IntelliJ-proceswerper “Runnerw.exe” wordt gebruikt om de uitvoering van een externe Powershell-script op een besmet systeem te proxyen.
De Stealer -artefacten, gedistribueerd via kwaadaardige MSI -pakketten of binaire malware -droppers, zijn ook gevonden om andere malware -families zoals Lumma Stealer, Amadey en Clippers te verspreiden.
Verdere analyse van de C & C-infrastructuur van de dreigingsacteur (“82.115.223 (.) 182”) heeft het gebruik van andere PowerShell-scripts onthuld om AnyDesk-software te downloaden en uit te voeren voor externe toegang en de mogelijkheid van de operators om Basis64-gecodeerde externe commando’s naar de slachtoffermachine te verzenden.
“Het gebruik van Water Gamayun van verschillende leveringsmethoden en technieken in zijn campagne, zoals het aanbieden van kwaadaardige payloads via ondertekende Microsoft -installatiebestanden en het gebruik van lolbins, benadrukt hun aanpassingsvermogen bij het compromitteren van de systemen en gegevens van slachtoffers,” zei Trend Micro.
“Hun ingewikkeld ontworpen payloads en C & C -infrastructuur stellen de dreigingsacteur in staat om persistentie te handhaven, geïnfecteerde systemen dynamisch te beheersen en hun activiteiten te verdoezelen.”
