Aug 16, 2025Ravie Lakshmananmalware / Vulnerabilidad El actor de amenaza conocido como CiCryPTHUB continúa explotando una falla de seguridad ahora emparejada que afecta a Microsoft Windows para ofrecer cargas útiles maliciosas. Trustwave SpiderLabs dijo que recientemente observó una campaña CiCrryPTHUB que reúne la ingeniería social y la explotación de una vulnerabilidad en el marco de la consola de gestión de Microsoft (MMC) (CVE-2025-26633, también conocido como MSC Eviltwin) para activar la rutina de infección a través de un archivo de consola Microsoft (MSC) de Microsoft (MSC). «Estas actividades son parte de una ola amplia y continua de actividad maliciosa que combina la ingeniería social con la explotación técnica para evitar las defensas de seguridad y obtener control sobre los entornos internos», dijeron los investigadores de confianza Nathaniel Morales y Nikita Kazymirskyi. CiCrypThub, también rastreado como Larva-208 y Water Gamayun, es un grupo de piratería ruso que primero ganó prominencia a mediados de 2024. Operando a un alto tempo, la tripulación motivada financieramente es conocida por aprovechar varios métodos, incluidas las ofertas de trabajo falsas, la revisión de cartera e incluso comprometer los juegos de Steam, para infectar objetivos con malware del robador. El abuso del actor de la amenaza de CVE-2025-26633 fue documentado previamente por Trend Micro en marzo de 2025, descubriendo ataques que entregan dos traseros llamados Silentprism y Darkwisp. La última secuencia de ataque involucra al actor de amenaza que afirma ser del departamento de TI y enviando una solicitud de equipos de Microsoft al objetivo con el objetivo de iniciar una conexión remota e implementar cargas útiles secundarias por medio de los comandos de PowerShell. Entre los archivos retirados se encuentran dos archivos MSC con el mismo nombre, uno benigno y el otro malicioso, que se usa para activar CVE-2025-26633, lo que finalmente resulta en la ejecución del archivo MSC de Rogue cuando se lanza su contraparte inocua. El archivo MSC, por su parte, obtiene y se ejecuta desde un servidor externo, otro script de PowerShell que recopila información del sistema, establece persistencia en el host y se comunica con un servidor de comando y control de cifrado (C2) para recibir y ejecutar cargas maliciosas, incluido un robador llamado Staaler. «El script recibe comandos cifrados de AES del atacante, los descifra y ejecuta las cargas útiles directamente en la máquina infectada», dijeron los investigadores. También desplegado por el actor de amenaza en el transcurso del ataque es un cargador basado en GO, llamado SilentCrystal, que abusa de soporte valiente, una plataforma legítima asociada con el navegador web valiente, para alojar malware de la próxima etapa, un archivo zip que contiene los dos archivos MSC para armar CVE-2025-26633. Lo que hace que esto sea significativo es que cargar archivos adjuntos de archivos en la plataforma de soporte valiente está restringido para los nuevos usuarios, lo que indica que los atacantes lograron de alguna manera obtener acceso no autorizado a una cuenta con permisos de carga para extraer el esquema. Algunas de las otras herramientas implementadas incluyen una puerta trasera de Golang que funciona en modo cliente y servidor para enviar metadatos del sistema al servidor C2, así como configurar la infraestructura C2 utilizando el protocolo de túnel proxy Socks5. También hay evidencia de que los actores de amenaza continúan dependiendo de los señuelos de videoconferencia, esta vez configurando plataformas falsas como Rivatalk para engañar a las víctimas para que descarguen un instalador MSI. Ejecutar el instalador conduce a la entrega de varios archivos: el binario de instalador antimalware de lanzamiento temprano (ELAM) legítimo de Symantec que se usa para colocar un DLL malicioso que, a su vez, lanza un comando PowerShell para descargar y ejecutar otro script de PowerShell. Está diseñado para recopilar información del sistema y exfiltrarla al servidor C2, y espera las instrucciones encriptadas de PowerShell que se decodifican y ejecutan para dar a los atacantes el control total del sistema. El malware también muestra un mensaje emergente falso de «Configuración del sistema» como una artimaña, mientras se lanza un trabajo de fondo para generar tráfico de navegador falso al realizar solicitudes HTTP a sitios web populares para combinar las comunicaciones C2 con actividad de red normal. «El actor de amenaza de CiCrrypThub representa a un adversario adaptativo y bien recubierto, que combina ingeniería social, abuso de plataformas confiables y la explotación de las vulnerabilidades del sistema para mantener la persistencia y el control», dijo Trustwave. «Su uso de plataformas de videoconferencia falsas, estructuras de comando cifradas y conjuntos de herramientas de malware en evolución subraya la importancia de las estrategias de defensa en capas, la inteligencia de amenazas continua y la capacitación en conciencia del usuario».