Les acteurs de la menace derrière l’exploitation zéro-jour d’une vulnérabilité de sécurité récemment paralysée à Microsoft Windows ont été trouvés pour livrer deux nouvelles déambulations appelées Priss muet et Sombre.

L’activité a été attribuée à un groupe de piratage russe présumé appelé Water Gamayun, également connu sous le nom de Encrypthub et Larva-208.

“L’acteur de menace déploie des charges utiles principalement au moyen de packages d’approvisionnement malveillants, de fichiers .msi signés et de fichiers MSC Windows, en utilisant des techniques comme l’Intellij Runnerw.exe pour l’exécution de la commande”, Trend Micro Researchers Aliakbar Zahravi et Ahmed Mohamed Ibrahim Tend dit Dans une analyse de suivi publiée la semaine dernière.

Water Gamayun a été lié à l’exploitation active du CVE-2025-26633 (AKA MSC Eviltwin), une vulnérabilité dans le cadre de la console de gestion Microsoft (MMC), pour exécuter des logiciels malveillants au moyen d’un fichier voyou Microsoft Console (.MSC).

Les chaînes d’attaque impliquent l’utilisation de packages d’approvisionnement (.ppkg), de fichiers d’installation Microsoft Windows signés (.msi) et de fichiers .msc pour fournir des voleurs et des déchets capables de persévérance et de vol de données.

Cybersécurité

Encrypthub a attiré l’attention vers la fin juin 2024, après avoir utilisé un référentiel GitHub nommé “EncrypThub” pour pousser divers types de familles de logiciels malveillants, y compris les voleurs, les mineurs et les ransomwares, via un faux site Web de Winrar. Les acteurs de la menace sont depuis passés à leur infrastructure à des fins de mise en scène et de commandement et de contrôle (C&C).

Les installateurs .MSI utilisés dans les attaques se masquent comme un logiciel de messagerie et de réunion légitime tels que Dingtalk, QQTalk et Voov. Ils sont conçus pour exécuter un téléchargeur PowerShell, qui est ensuite utilisé pour récupérer et exécuter la charge utile à la prochaine étape sur un hôte compromis.

SILENTPRISM ET DARKWIST

L’un de ces logiciels malveillants est un implant PowerShell surnommé unprime silent qui peut configurer la persistance, exécuter plusieurs commandes de shell simultanément et maintenir le contrôle à distance, tout en incorporant également des techniques d’anti-analyse pour échapper à la détection. Une autre porte dérobée PowerShell à noter est Darkwisp, qui permet la reconnaissance du système, l’exfiltration de données sensibles et la persistance.

“Une fois que les logiciels malveillants exfiltraient la reconnaissance et les informations système au serveur C&C, il entre une boucle continue en attendant les commandes”, ont déclaré les chercheurs. “Le malware accepte les commandes via une connexion TCP sur le port 8080, où les commandes arrivent dans la commande format |. “

“La boucle de communication principale assure une interaction continue avec le serveur, gérer les commandes, maintenir la connectivité et transmettre des résultats en toute sécurité.”

La troisième charge utile abandonnée dans les attaques est le chargeur MSC Eviltwin qui arme le CVE-2025-26633 pour exécuter un fichier .MSC malveillant, conduisant finalement au déploiement du voleur de Rhadamanthys. Le chargeur est également conçu pour effectuer un nettoyage du système afin d’éviter de quitter un sentier médico-légal.

CVE-2025-26633

Rhadamanthys est loin d’être le seul voleur dans l’arsenal de Gamayun, car il a été observé en train de livrer un autre voleur de marchandises appelé Stealc, ainsi que trois variantes de powershell personnalisées appelées variante de voleur Encrypthub A, variante B et variante C.

Le voleur sur mesure est des logiciels malveillants entièrement tracases qui peuvent collecter des informations système approfondies, y compris des détails sur les logiciels antivirus, des logiciels installés, des adaptateurs réseau et des applications exécutées. Il extrait également les mots de passe Wi-Fi, les touches de produit Windows, l’historique du presse-papiers, les informations d’identification du navigateur et les données de session à partir de diverses applications liées à la messagerie, VPN, FTP et gestion de mot de passe.

En outre, il distingue spécifiquement des fichiers correspondant à certains mots clés et extensions, indiquant une focalisation sur la collecte de phrases de récupération associées aux portefeuilles de crypto-monnaie.

“Ces variantes présentent des fonctionnalités et des capacités similaires, avec seulement des modifications mineures les distinguant”, ont noté les chercheurs. “Toutes les variantes d’encrypthub couvertes dans cette recherche sont des versions modifiées du voleur kématien open source.”

Une itération du voleur Encrypthub est remarquable pour l’utilisation d’une nouvelle technique binaire de vie (lolbin) dans laquelle le lanceur de processus Intellij “Runnerw.exe” est utilisé pour proxyer l’exécution d’un script puissant à distance sur un système infecté.

Cybersécurité

Les artefacts de voleurs, distribués à travers des forfaits MSI malveillants ou des droppers de logiciels malveillants binaires, ont également propagé d’autres familles de logiciels malveillants comme Lumma Stealer, Amadey et Clippers.

Analyse plus approfondie de l’infrastructure C&C de l’acteur de menace (“82.115.223[.]182 “) a révélé l’utilisation d’autres scripts PowerShell pour télécharger et exécuter un logiciel AnyDesk pour un accès à distance et la capacité des opérateurs à envoyer des commandes distantes en codés de base64 à la machine victime.

“L’utilisation par Water Gamayun de diverses méthodes et techniques de livraison dans sa campagne, telles que l’approvisionnement des charges utiles malveillantes via des fichiers d’installation de Microsoft signés et tirant parti des lolbins, met en évidence leur adaptabilité dans le compromis les systèmes et les données des victimes”, a déclaré Trend Micro.

“Leurs charges utiles conçues et infrastructures C&C permettent à l’acteur de menace de maintenir la persistance, de contrôler dynamiquement les systèmes infectés et d’obscurcir leurs activités.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57