{"id":1647724,"date":"2025-03-31T17:34:30","date_gmt":"2025-03-31T17:34:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-rusos-explotan-cve-2025-26633-a-traves-de-msc-eviltwin-para-desplegar-silentprism-y-darkwisp\/"},"modified":"2025-03-31T17:34:36","modified_gmt":"2025-03-31T17:34:36","slug":"los-piratas-informaticos-rusos-explotan-cve-2025-26633-a-traves-de-msc-eviltwin-para-desplegar-silentprism-y-darkwisp","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-rusos-explotan-cve-2025-26633-a-traves-de-msc-eviltwin-para-desplegar-silentprism-y-darkwisp\/","title":{"rendered":"Los piratas inform\u00e1ticos rusos explotan CVE-2025-26633 a trav\u00e9s de MSC Eviltwin para desplegar Silentprism y Darkwisp"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-piratas-informaticos-rusos-explotan-CVE-2025-26633-a-traves-de-MSC.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha encontrado que los actores de amenaza detr\u00e1s de la explotaci\u00f3n de un d\u00eda cero de una vulnerabilidad de seguridad recientemente parada en Microsoft Windows entregan dos nuevas puertas traseras llamadas <b>Precio silencioso <\/b>y <b>Darkwisp<\/b>.<\/p>\n<p>La actividad se ha atribuido a un presunto grupo de pirater\u00eda ruso llamado Water Gamayun, que tambi\u00e9n se conoce como CiCrryPTHUB y LARVA-208.<\/p>\n<p>&#8220;El actor de amenaza despliega las cargas \u00fatiles principalmente mediante paquetes de aprovisionamiento malicioso, archivos .msi firmados y archivos MSC de Windows, utilizando t\u00e9cnicas como el IntelliJ Runnerw.exe para la ejecuci\u00f3n de comandos&#8221;, los investigadores de Trend Micro Aliakbar Zahravi y Ahmed Mohamed Ibrahim <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/c\/deep-dive-into-water-gamayun.html\" target=\"_blank\">dicho<\/a> En un an\u00e1lisis de seguimiento publicado la semana pasada.<\/p>\n<p>Water Gamayun se ha vinculado a la explotaci\u00f3n activa del CVE-2025-26633 (tambi\u00e9n conocido como MSC Eviltwin), una vulnerabilidad en el marco de la consola de administraci\u00f3n de Microsoft (MMC), para ejecutar malware por medio de un archivo Rogue Microsoft Console (.msc).<\/p>\n<p>Las cadenas de ataque implican el uso de paquetes de aprovisionamiento (.ppkg), archivos de instalador de Microsoft Windows firmados (.msi) y archivos .msc para entregar informaci\u00f3n de robos y puertas traseras que son capaces de persistencia y robo de datos. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>CiCrryPTHUB llam\u00f3 la atenci\u00f3n a fines de junio de 2024, despu\u00e9s de haber usado un repositorio de GitHub llamado &#8220;CiCryPTHUB&#8221; para empujar a varios tipos de familias de malware, incluidos robos, mineros y ransomware, a trav\u00e9s de un <a rel=\"noopener nofollow\" href=\"https:\/\/www.sonicwall.com\/blog\/beware-of-fake-winrar-websites-malware-hosted-on-github\" target=\"_blank\">Sitio web falso de Winrar<\/a>. Desde entonces, los actores de amenaza han hecho la transici\u00f3n a su infraestructura tanto para la puesta en escena como para los fines de comando y control (C&#038;C).<\/p>\n<p>Los instaladores .msi utilizados en los ataques se preparan como software leg\u00edtimo de mensajer\u00eda y reuni\u00f3n como Dingtalk, QQTalk y VOOV Reuni\u00f3n. Est\u00e1n dise\u00f1ados para ejecutar un descargador de PowerShell, que luego se usa para obtener y ejecutar la carga \u00fatil de la pr\u00f3xima etapa en un host comprometido.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-piratas-informaticos-rusos-explotan-CVE-2025-26633-a-traves-de-MSC.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-piratas-informaticos-rusos-explotan-CVE-2025-26633-a-traves-de-MSC.png\" alt=\"Silentprism y Darkwisp\" border=\"0\" data-original-height=\"1460\" data-original-width=\"1667\" title=\"Silentprism y Darkwisp\"\/><\/a><\/div>\n<p>Uno de estos malware es un implante de PowerShell denominado SilentPrism que puede configurar la persistencia, ejecutar m\u00faltiples comandos de shell simult\u00e1neamente y mantener el control remoto, al tiempo que incorpora t\u00e9cnicas anti-an\u00e1lisis para evadir la detecci\u00f3n. Otra puerta trasera de PowerShell es DarkWisp, que permite el reconocimiento del sistema, la exfiltraci\u00f3n de datos confidenciales y la persistencia. <\/p>\n<p>&#8220;Una vez que el malware exfiltra el reconocimiento y la informaci\u00f3n del sistema al servidor C&#038;C, ingresa a un bucle continuo esperando comandos&#8221;, dijeron los investigadores. &#8220;El malware acepta comandos a trav\u00e9s de una conexi\u00f3n TCP en el puerto 8080, donde llegan los comandos en el comando de formato |<base64_encoded_command>&#8220;<\/base64_encoded_command><\/p>\n<p>&#8220;El bucle de comunicaci\u00f3n principal garantiza una interacci\u00f3n continua con el servidor, manejar comandos, mantener la conectividad y transmitir de forma segura los resultados&#8221;.<\/p>\n<p>La tercera carga \u00fatil que se redujo en los ataques es el cargador MSC Eviltwin que armaba CVE-2025-26633 para ejecutar un archivo .msc malicioso, lo que finalmente conduce al despliegue del robador de Rhadamanthys. El cargador tambi\u00e9n est\u00e1 dise\u00f1ado para realizar una limpieza del sistema para evitar dejar un sendero forense.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1743442469_114_Los-piratas-informaticos-rusos-explotan-CVE-2025-26633-a-traves-de-MSC.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1743442469_114_Los-piratas-informaticos-rusos-explotan-CVE-2025-26633-a-traves-de-MSC.png\" alt=\"CVE-2025-26633\" border=\"0\" data-original-height=\"1209\" data-original-width=\"1334\" title=\"CVE-2025-26633\"\/><\/a><\/div>\n<p>Rhadamanthys est\u00e1 lejos de ser el \u00fanico robador en el arsenal de Gamayun de Water, ya que se ha observado que entrega otro robador de productos llamados STEALC, as\u00ed como tres variantes personalizadas de PowerShell denominadas Variant A, variantes B y variantes.<\/p>\n<p>El Stealer a medida es un malware totalmente caracter\u00edstico que puede recopilar informaci\u00f3n extensa del sistema, incluidos detalles sobre el software antivirus, el software instalado, los adaptadores de red y las aplicaciones en ejecuci\u00f3n. Tambi\u00e9n extrae contrase\u00f1as de Wi-Fi, claves de productos de Windows, historial de portapapeles, credenciales de navegador y datos de sesi\u00f3n de varias aplicaciones relacionadas con mensajes, VPN, FTP y administraci\u00f3n de contrase\u00f1as.<\/p>\n<p>Adem\u00e1s, destaca espec\u00edficamente archivos que coinciden con ciertas palabras clave y extensiones, lo que indica un enfoque en recopilar frases de recuperaci\u00f3n asociadas con billeteras de criptomonedas.<\/p>\n<p>&#8220;Estas variantes exhiben funcionalidades y capacidades similares, con solo modificaciones menores que las distinguen&#8221;, se\u00f1alaron los investigadores. &#8220;Todas las variantes de CiCrypThub cubiertas en esta investigaci\u00f3n son versiones modificadas del robador kematiano de c\u00f3digo abierto&#8221;.<\/p>\n<p>Una iteraci\u00f3n del robador de cifrado es notable para el uso de una nueva t\u00e9cnica binaria viva-de la tierra (LOLBIN) en la que el lanzador de procesos IntelliJ &#8220;Runnerw.exe&#8221; se utiliza para obtener la ejecuci\u00f3n de un script de PowerShell remoto en un sistema infectado.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Tambi\u00e9n se ha encontrado que los artefactos del robador, distribuidos a trav\u00e9s de paquetes MSI maliciosos o gotas de malware binarias, propagan a otras familias de malware como Lumma Stealer, Amadey y Clippers.<\/p>\n<p>An\u00e1lisis adicional de la infraestructura C&#038;C del actor de amenaza (&#8220;82.115.223[.]182 &#8220;) ha revelado el uso de otros scripts de PowerShell para descargar y ejecutar el software Anydesk para el acceso remoto y la capacidad de los operadores para enviar comandos remotos codificados en Base64 a la m\u00e1quina v\u00edctima.<\/p>\n<p>&#8220;El uso de Water Gamayun de varios m\u00e9todos y t\u00e9cnicas de entrega en su campa\u00f1a, como el aprovisionamiento de cargas \u00fatiles maliciosas a trav\u00e9s de archivos de instalador de Microsoft firmados y aprovechando LOLBins, resalta su adaptabilidad para comprometer los sistemas y datos de las v\u00edctimas&#8221;, dijo Trend Micro.<\/p>\n<p>&#8220;Sus cargas \u00fatiles intrincadamente dise\u00f1adas y la infraestructura de C&#038;C permiten al actor de amenaza mantener la persistencia, controlar din\u00e1micamente los sistemas infectados y ofuscar sus actividades&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/russian-hackers-exploit-cve-2025-26633.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha encontrado que los actores de amenaza detr\u00e1s de la explotaci\u00f3n de un d\u00eda cero de una<\/p>\n","protected":false},"author":1,"featured_media":1647725,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,291098,291101,5635,291099,8513,6214,273784,36,273783,33586,4654,273782,4659,4653,4655,18,6213,690,246983,4665,246984,291100,116,455,239484],"class_list":["post-1647724","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-cve202526633","tag-darkwisp","tag-desplegar","tag-eviltwin","tag-explotan","tag-informaticos","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-msc","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-rusos","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-silentprism","tag-traves","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1647724","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1647724"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1647724\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1647725"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1647724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1647724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1647724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}