Vulnérabilité CVE-2025-26633

Par Mezo en Vulnérabilité, Menace persistante avancée (APT)

Se traduisent par :

Water Gamayun a activement exploité CVE-2025-26633 (alias MSC EvilTwin), une vulnérabilité dans le framework Microsoft Management Console (MMC), pour exécuter des logiciels malveillants à l'aide de fichiers Microsoft Console (.msc) malveillants.

Table des matières

Nouvelles portes dérobées : SilentPrism et DarkWisp

Les cybercriminels à l'origine de cette attaque zero-day ont déployé deux portes dérobées sophistiquées : SilentPrism et DarkWisp. Ces outils facilitent la persistance, la reconnaissance du système et le contrôle à distance, ce qui en fait de puissants outils d'espionnage et de vol de données. L'opération a été attribuée à un groupe de pirates informatiques lié à la Russie, connu sous le nom de Water Gamayun, également appelé EncryptHub et LARVA-208.

Méthodes d’attaque : packages de provisionnement et installateurs MSI

Water Gamayun distribue principalement ses charges utiles via des packages de provisionnement frauduleux, des fichiers .msi signés et des fichiers MSC. Ils utilisent des techniques comme le processus IntelliJ runnerw.exe pour l'exécution des commandes, augmentant ainsi la furtivité et l'efficacité.

L’évolution de la distribution des logiciels malveillants d’EncryptHub

EncryptHub a initialement attiré l'attention en juin 2024 en utilisant un dépôt GitHub pour diffuser diverses familles de logiciels malveillants via un faux site web WinRAR. Depuis, l'entreprise a migré vers sa propre infrastructure pour les opérations de préproduction et de commande et contrôle (C&C).

Se faisant passer pour un logiciel légitime

Water Gamayun dissimule son malware dans des installateurs .msi se faisant passer pour des applications authentiques comme DingTalk, QQTalk et VooV Meeting. Ces installateurs exécutent un téléchargeur PowerShell, récupérant et exécutant les charges utiles de niveau supérieur sur les systèmes compromis.

SilentPrism et DarkWisp : implants PowerShell furtifs

SilentPrism est un implant basé sur PowerShell qui établit la persistance, exécute plusieurs commandes shell et échappe à la détection à l'aide de techniques anti-analyse.

DarkWisp, une autre porte dérobée PowerShell, est spécialisée dans la reconnaissance de systèmes, l'exfiltration de données et le maintien d'un accès à long terme aux machines infectées.

Communication C&C et exécution des commandes

Une fois infecté, le malware exfiltre les données de reconnaissance vers le serveur C&C et entre dans une boucle continue, en attendant les commandes via le port TCP 8080. Les commandes arrivent dans un format COMMAND|, assurant une interaction et un contrôle continus sur le système de la victime.

Chargeur MSC EvilTwin : Déploiement du Rhadamanthys Stealer

L'une des charges utiles les plus préoccupantes de cette chaîne d'attaque est le chargeur MSC EvilTwin, qui exploite la faille CVE-2025-26633 pour exécuter des fichiers .msc malveillants. Cela conduit finalement au déploiement de Rhadamanthys Stealer , un malware bien connu conçu pour le vol de données.

Élargissement de l’arsenal : plus de Stealers et de variantes personnalisées

Water Gamayun ne s'appuie pas uniquement sur Rhadamanthys. L'entreprise distribue également StealC et trois voleurs personnalisés basés sur PowerShell : les variantes A, B et C d'EncryptHub Stealer. Ces variantes, basées sur le Kematian Stealer open source, extraient des données système complètes, notamment des informations anti-malware, les logiciels installés, les configurations réseau et les applications en cours d'exécution.

Ciblage des cryptomonnaies et des données sensibles

Le malware voleur collecte un large éventail d'identifiants, notamment des mots de passe Wi-Fi, des clés de produit Windows, des données de navigation et l'historique du presse-papiers. Il recherche notamment explicitement des fichiers liés à des portefeuilles de cryptomonnaies, indiquant ainsi son intention de récupérer des phrases de récupération et des actifs financiers.

Techniques de survie à la campagne pour la discrétion

Une caractéristique unique d'une variante d'EncryptHub Stealer est son utilisation d'une technique binaire « living-off-the-land » (LOLBin). Elle exploite le fichier runnerw.exe d'IntelliJ pour proxy l'exécution de scripts PowerShell distants, obscurcissant ainsi davantage son activité.

Propagation de logiciels malveillants via plusieurs canaux

Les packages MSI menaçants et les droppers binaires de Water Gamayun ont été découverts distribuant des familles de logiciels malveillants supplémentaires, notamment Lumma Stealer , Amadey et divers clippers axés sur la crypto-monnaie.

Infrastructure C&C : contrôle à distance via PowerShell

L'analyse de l'infrastructure C&C de Water Gamayun (notamment 82.115.223[.]182) a révélé que l'entreprise utilise des scripts PowerShell pour télécharger et exécuter le logiciel AnyDesk afin d'accéder à distance. Elle envoie également des commandes distantes codées en Base64 aux machines victimes pour un contrôle transparent.

Adaptatif et persistant : le paysage des menaces du Gamayun aquatique

L'utilisation par Water Gamayun de multiples vecteurs d'attaque, notamment des fichiers MSI signés, des LOLBins et des charges utiles personnalisées, met en évidence sa capacité d'adaptation aux failles de sécurité. Son infrastructure C&C sophistiquée lui permet de maintenir une persistance à long terme tout en échappant aux investigations médico-légales.