{"id":1639570,"date":"2025-03-26T14:43:32","date_gmt":"2025-03-26T14:43:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/cicrrypthub-explota-windows-cero-dia-para-implementar-rhadamanthys-y-malware-stealc\/"},"modified":"2025-03-26T14:43:37","modified_gmt":"2025-03-26T14:43:37","slug":"cicrrypthub-explota-windows-cero-dia-para-implementar-rhadamanthys-y-malware-stealc","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cicrrypthub-explota-windows-cero-dia-para-implementar-rhadamanthys-y-malware-stealc\/","title":{"rendered":"CiCrryPTHUB explota Windows cero-d\u00eda para implementar rHadamanthys y Malware Stealc"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>26 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad \/ vulnerabilidad de Windows<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenaza conocido como CiCrypThub explot\u00f3 una vulnerabilidad de seguridad recientemente rompida en Microsoft Windows como un d\u00eda cero para ofrecer una amplia gama de familias de malware, incluidas las puertas traseras y los robos de informaci\u00f3n como Rhadamanthys y Stealc.<\/p>\n

“En este ataque, el actor de amenaza manipula los archivos .msc y la ruta de interfaz de usuario multiling\u00fce (Muipath) para descargar y ejecutar la carga \u00fatil maliciosa, mantener la persistencia y robar datos confidenciales de sistemas infectados”, el investigador de Trend Micro Aliakbar Zahravi dicho<\/a> en un an\u00e1lisis.<\/p>\n

La vulnerabilidad en cuesti\u00f3n es CVE-2025-26633 (puntaje CVSS: 7.0), descrito por Microsoft como una vulnerabilidad de neutralizaci\u00f3n inadecuada en la consola de administraci\u00f3n de Microsoft (MMC<\/a>) que podr\u00eda permitir que un atacante omita una funci\u00f3n de seguridad localmente. La compa\u00f1\u00eda lo solucion\u00f3 a principios de este mes como parte de su actualizaci\u00f3n del parche martes.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Trend Micro ha dado la exploit al apodo MSC Eviltwin, rastreando el presunto grupo de actividades rusas bajo el nombre de Water Gamayun. El actor de amenaza, recientemente el tema de los an\u00e1lisis de ProDaft y Outpost24, tambi\u00e9n se llama LARVA-208.<\/p>\n

CVE-2025-26633, en su n\u00facleo, aprovecha el marco de la consola de administraci\u00f3n de Microsoft (MMC) para ejecutar un archivo de consola de Microsoft (.msc) malicioso por medio de un cargador PowerShell conocido como cargador MSC eviltwin.<\/p>\n

Espec\u00edficamente, implica que el cargador cree dos archivos .msc con el mismo nombre: un archivo limpio y su contraparte rebelde que se elimina en la misma ubicaci\u00f3n pero dentro de un directorio llamado “EN-US”. La idea es que cuando se ejecuta el primero, MMC elige inadvertidamente el archivo malicioso y lo ejecuta. Esto se logra explotando la funci\u00f3n de ruta de interfaz de usuario multiling\u00fce de MMC (MUIPATH).<\/p>\n

\"Windows<\/a><\/div>\n

“Al abusar de la forma en que MMC.exe usa a Muipath, el atacante puede equipar a Muipath En-US con un archivo .msc malicioso, que causa que el mmc.exe cargue este archivo malicioso en lugar del archivo original y se ejecute sin el conocimiento de la v\u00edctima”, explic\u00f3 Zahravi.<\/p>\n

Tambi\u00e9n se ha observado que CiCrryPTHUB adopta otros dos m\u00e9todos para ejecutar la carga \u00fatil maliciosa en un sistema infectado utilizando archivos .msc –<\/p>\n