L’acteur de menace connu sous le nom de Encrypthub a exploité une vulnérabilité de sécurité récemment paralysée dans Microsoft Windows comme un jour zéro pour offrir un large éventail de familles de logiciels malveillants, y compris des déchets et des voleurs d’informations tels que Rhadamanthys et Stealc.
“Dans cette attaque, l’acteur de menace manipule les fichiers .msc et le chemin d’interface utilisateur multilingue (Muipath) pour télécharger et exécuter la charge utile malveillante, maintenir la persistance et voler des données sensibles à des systèmes infectés”, a déclaré le chercheur de tendance Aliakbar Zahravi dit dans une analyse.
La vulnérabilité en question est CVE-2025-26633 (score CVSS: 7.0), décrite par Microsoft comme une vulnérabilité de neutralisation incorrecte dans la console de gestion de Microsoft (MMC) Cela pourrait permettre à un attaquant de contourner localement une fonction de sécurité. Il a été corrigé par la société au début du mois dans le cadre de sa mise à jour du patch mardi.
Trend Micro a donné à l’exploit le surnom MSC Eviltwin, suivant le cluster d’activités russes présumé sous le nom de Water Gamayun. L’acteur de menace, récemment l’objet d’analyses de Prodaft et UptPost24, est également appelé LARVA-208.
Le CVE-2025-26633, à la base, exploite le cadre de la console de gestion Microsoft (MMC) pour exécuter un fichier Microsoft Console (.MSC) malveillant au moyen d’un chargeur PowerShell appelé MSC Eviltwin Loder.
Plus précisément, il implique le chargeur créant deux fichiers .msc avec le même nom: un fichier propre et son homologue voyou qui est déposé au même emplacement mais dans un répertoire nommé “En-Us”. L’idée est que lorsque le premier est exécuté, MMC choisit par inadvertance le fichier malveillant à la place et l’exécute. Ceci est accompli en exploitant la fonctionnalité de chemin d’interface utilisateur multilingue de MMC (Muipath).
“En abusant de la façon dont MMC.exe utilise Muipath, l’attaquant peut équiper Muipath en-US d’un fichier .msc malveillant, qui provoque le chargement de MMC.exe ce fichier malveillant au lieu du fichier d’origine et exécuté à l’insu de la victime”, a expliqué Zahravi.
Encrypthub a également été observé en adoptant deux autres méthodes pour exécuter une charge utile malveillante sur un système infecté à l’aide de fichiers .msc –
- En utilisant le ExecutellCommand Méthode de MMC pour télécharger et exécuter une charge utile à la prochaine étape sur la machine de la victime, une approche précédemment documenté par la société de cybersécurité néerlandaise qui dépasse en août 2024
- Utilisation de répertoires de confiance simulés tels que “C: Windows System32” (Remarquez l’espace après Windows) pour contourner le contrôle du compte d’utilisateur (UAC) et déposez un fichier .msc malveillant appelé “wmimgmt.msc”
Trend Micro a déclaré que les chaînes d’attaque commencent probablement par les victimes téléchargeant les fichiers d’installation de Microsoft (MSI) signés numériquement, comme un logiciel chinois légitime comme Dingtalk ou QQTalk, qui est ensuite utilisé pour récupérer et exécuter le chargeur à partir d’un serveur distant. On dit que l’acteur de menace expérimente ces techniques depuis avril 2024.
“Cette campagne est en cours de développement actif; il utilise plusieurs méthodes de livraison et charges utiles personnalisées conçues pour maintenir la persistance et voler des données sensibles, puis l’exfiltration aux serveurs de commandement et de contrôle des attaquants (C&C)”, a déclaré Zahravi.




