{"id":1604423,"date":"2025-03-31T16:21:35","date_gmt":"2025-03-31T18:21:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-russes-exploitent-cve-2025-26633-via-msc-eviltwin-pour-deployer-silentprism-et-darkwisp\/"},"modified":"2025-03-31T16:21:41","modified_gmt":"2025-03-31T18:21:41","slug":"les-pirates-russes-exploitent-cve-2025-26633-via-msc-eviltwin-pour-deployer-silentprism-et-darkwisp","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-russes-exploitent-cve-2025-26633-via-msc-eviltwin-pour-deployer-silentprism-et-darkwisp\/","title":{"rendered":"Les pirates russes exploitent CVE-2025-26633 via MSC Eviltwin pour d\u00e9ployer Silentprism et Darkwisp"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-russes-exploitent-CVE-2025-26633-via-MSC-Eviltwin-pour-deployer.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les acteurs de la menace derri\u00e8re l&#8217;exploitation z\u00e9ro-jour d&#8217;une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 r\u00e9cemment paralys\u00e9e \u00e0 Microsoft Windows ont \u00e9t\u00e9 trouv\u00e9s pour livrer deux nouvelles d\u00e9ambulations appel\u00e9es <b>Priss muet <\/b>et <b>Sombre<\/b>.<\/p>\n<p>L&#8217;activit\u00e9 a \u00e9t\u00e9 attribu\u00e9e \u00e0 un groupe de piratage russe pr\u00e9sum\u00e9 appel\u00e9 Water Gamayun, \u00e9galement connu sous le nom de Encrypthub et Larva-208.<\/p>\n<p>&#8220;L&#8217;acteur de menace d\u00e9ploie des charges utiles principalement au moyen de packages d&#8217;approvisionnement malveillants, de fichiers .msi sign\u00e9s et de fichiers MSC Windows, en utilisant des techniques comme l&#8217;Intellij Runnerw.exe pour l&#8217;ex\u00e9cution de la commande&#8221;, Trend Micro Researchers Aliakbar Zahravi et Ahmed Mohamed Ibrahim Tend <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/c\/deep-dive-into-water-gamayun.html\" target=\"_blank\">dit<\/a> Dans une analyse de suivi publi\u00e9e la semaine derni\u00e8re.<\/p>\n<p>Water Gamayun a \u00e9t\u00e9 li\u00e9 \u00e0 l&#8217;exploitation active du CVE-2025-26633 (AKA MSC Eviltwin), une vuln\u00e9rabilit\u00e9 dans le cadre de la console de gestion Microsoft (MMC), pour ex\u00e9cuter des logiciels malveillants au moyen d&#8217;un fichier voyou Microsoft Console (.MSC).<\/p>\n<p>Les cha\u00eenes d&#8217;attaque impliquent l&#8217;utilisation de packages d&#8217;approvisionnement (.ppkg), de fichiers d&#8217;installation Microsoft Windows sign\u00e9s (.msi) et de fichiers .msc pour fournir des voleurs et des d\u00e9chets capables de pers\u00e9v\u00e9rance et de vol de donn\u00e9es. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Encrypthub a attir\u00e9 l&#8217;attention vers la fin juin 2024, apr\u00e8s avoir utilis\u00e9 un r\u00e9f\u00e9rentiel GitHub nomm\u00e9 &#8220;EncrypThub&#8221; pour pousser divers types de familles de logiciels malveillants, y compris les voleurs, les mineurs et les ransomwares, via un <a rel=\"noopener nofollow\" href=\"https:\/\/www.sonicwall.com\/blog\/beware-of-fake-winrar-websites-malware-hosted-on-github\" target=\"_blank\">faux site Web de Winrar<\/a>. Les acteurs de la menace sont depuis pass\u00e9s \u00e0 leur infrastructure \u00e0 des fins de mise en sc\u00e8ne et de commandement et de contr\u00f4le (C&#038;C).<\/p>\n<p>Les installateurs .MSI utilis\u00e9s dans les attaques se masquent comme un logiciel de messagerie et de r\u00e9union l\u00e9gitime tels que Dingtalk, QQTalk et Voov. Ils sont con\u00e7us pour ex\u00e9cuter un t\u00e9l\u00e9chargeur PowerShell, qui est ensuite utilis\u00e9 pour r\u00e9cup\u00e9rer et ex\u00e9cuter la charge utile \u00e0 la prochaine \u00e9tape sur un h\u00f4te compromis.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-russes-exploitent-CVE-2025-26633-via-MSC-Eviltwin-pour-deployer.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-russes-exploitent-CVE-2025-26633-via-MSC-Eviltwin-pour-deployer.png\" alt=\"SILENTPRISM ET DARKWIST\" border=\"0\" data-original-height=\"1460\" data-original-width=\"1667\" title=\"SILENTPRISM ET DARKWIST\"\/><\/a><\/div>\n<p>L&#8217;un de ces logiciels malveillants est un implant PowerShell surnomm\u00e9 unprime silent qui peut configurer la persistance, ex\u00e9cuter plusieurs commandes de shell simultan\u00e9ment et maintenir le contr\u00f4le \u00e0 distance, tout en incorporant \u00e9galement des techniques d&#8217;anti-analyse pour \u00e9chapper \u00e0 la d\u00e9tection. Une autre porte d\u00e9rob\u00e9e PowerShell \u00e0 noter est Darkwisp, qui permet la reconnaissance du syst\u00e8me, l&#8217;exfiltration de donn\u00e9es sensibles et la persistance. <\/p>\n<p>&#8220;Une fois que les logiciels malveillants exfiltraient la reconnaissance et les informations syst\u00e8me au serveur C&#038;C, il entre une boucle continue en attendant les commandes&#8221;, ont d\u00e9clar\u00e9 les chercheurs. &#8220;Le malware accepte les commandes via une connexion TCP sur le port 8080, o\u00f9 les commandes arrivent dans la commande format |<base64_encoded_command>. &#8220;<\/base64_encoded_command><\/p>\n<p>&#8220;La boucle de communication principale assure une interaction continue avec le serveur, g\u00e9rer les commandes, maintenir la connectivit\u00e9 et transmettre des r\u00e9sultats en toute s\u00e9curit\u00e9.&#8221;<\/p>\n<p>La troisi\u00e8me charge utile abandonn\u00e9e dans les attaques est le chargeur MSC Eviltwin qui arme le CVE-2025-26633 pour ex\u00e9cuter un fichier .MSC malveillant, conduisant finalement au d\u00e9ploiement du voleur de Rhadamanthys. Le chargeur est \u00e9galement con\u00e7u pour effectuer un nettoyage du syst\u00e8me afin d&#8217;\u00e9viter de quitter un sentier m\u00e9dico-l\u00e9gal.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743445295_494_Les-pirates-russes-exploitent-CVE-2025-26633-via-MSC-Eviltwin-pour-deployer.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743445295_494_Les-pirates-russes-exploitent-CVE-2025-26633-via-MSC-Eviltwin-pour-deployer.png\" alt=\"CVE-2025-26633\" border=\"0\" data-original-height=\"1209\" data-original-width=\"1334\" title=\"CVE-2025-26633\"\/><\/a><\/div>\n<p>Rhadamanthys est loin d&#8217;\u00eatre le seul voleur dans l&#8217;arsenal de Gamayun, car il a \u00e9t\u00e9 observ\u00e9 en train de livrer un autre voleur de marchandises appel\u00e9 Stealc, ainsi que trois variantes de powershell personnalis\u00e9es appel\u00e9es variante de voleur Encrypthub A, variante B et variante C.<\/p>\n<p>Le voleur sur mesure est des logiciels malveillants enti\u00e8rement tracases qui peuvent collecter des informations syst\u00e8me approfondies, y compris des d\u00e9tails sur les logiciels antivirus, des logiciels install\u00e9s, des adaptateurs r\u00e9seau et des applications ex\u00e9cut\u00e9es. Il extrait \u00e9galement les mots de passe Wi-Fi, les touches de produit Windows, l&#8217;historique du presse-papiers, les informations d&#8217;identification du navigateur et les donn\u00e9es de session \u00e0 partir de diverses applications li\u00e9es \u00e0 la messagerie, VPN, FTP et gestion de mot de passe.<\/p>\n<p>En outre, il distingue sp\u00e9cifiquement des fichiers correspondant \u00e0 certains mots cl\u00e9s et extensions, indiquant une focalisation sur la collecte de phrases de r\u00e9cup\u00e9ration associ\u00e9es aux portefeuilles de crypto-monnaie.<\/p>\n<p>&#8220;Ces variantes pr\u00e9sentent des fonctionnalit\u00e9s et des capacit\u00e9s similaires, avec seulement des modifications mineures les distinguant&#8221;, ont not\u00e9 les chercheurs. &#8220;Toutes les variantes d&#8217;encrypthub couvertes dans cette recherche sont des versions modifi\u00e9es du voleur k\u00e9matien open source.&#8221;<\/p>\n<p>Une it\u00e9ration du voleur Encrypthub est remarquable pour l&#8217;utilisation d&#8217;une nouvelle technique binaire de vie (lolbin) dans laquelle le lanceur de processus Intellij &#8220;Runnerw.exe&#8221; est utilis\u00e9 pour proxyer l&#8217;ex\u00e9cution d&#8217;un script puissant \u00e0 distance sur un syst\u00e8me infect\u00e9.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les artefacts de voleurs, distribu\u00e9s \u00e0 travers des forfaits MSI malveillants ou des droppers de logiciels malveillants binaires, ont \u00e9galement propag\u00e9 d&#8217;autres familles de logiciels malveillants comme Lumma Stealer, Amadey et Clippers.<\/p>\n<p>Analyse plus approfondie de l&#8217;infrastructure C&#038;C de l&#8217;acteur de menace (&#8220;82.115.223[.]182 &#8220;) a r\u00e9v\u00e9l\u00e9 l&#8217;utilisation d&#8217;autres scripts PowerShell pour t\u00e9l\u00e9charger et ex\u00e9cuter un logiciel AnyDesk pour un acc\u00e8s \u00e0 distance et la capacit\u00e9 des op\u00e9rateurs \u00e0 envoyer des commandes distantes en cod\u00e9s de base64 \u00e0 la machine victime.<\/p>\n<p>&#8220;L&#8217;utilisation par Water Gamayun de diverses m\u00e9thodes et techniques de livraison dans sa campagne, telles que l&#8217;approvisionnement des charges utiles malveillantes via des fichiers d&#8217;installation de Microsoft sign\u00e9s et tirant parti des lolbins, met en \u00e9vidence leur adaptabilit\u00e9 dans le compromis les syst\u00e8mes et les donn\u00e9es des victimes&#8221;, a d\u00e9clar\u00e9 Trend Micro.<\/p>\n<p>&#8220;Leurs charges utiles con\u00e7ues et infrastructures C&#038;C permettent \u00e0 l&#8217;acteur de menace de maintenir la persistance, de contr\u00f4ler dynamiquement les syst\u00e8mes infect\u00e9s et d&#8217;obscurcir leurs activit\u00e9s.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/russian-hackers-exploit-cve-2025-26633.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les acteurs de la menace derri\u00e8re l&#8217;exploitation z\u00e9ro-jour d&#8217;une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 r\u00e9cemment paralys\u00e9e \u00e0 Microsoft Windows ont \u00e9t\u00e9 trouv\u00e9s pour livrer deux nouvelles d\u00e9ambulations appel\u00e9es Priss muet et Sombre. L&#8217;activit\u00e9 a \u00e9t\u00e9 attribu\u00e9e \u00e0 un groupe de piratage russe pr\u00e9sum\u00e9 appel\u00e9 Water Gamayun, \u00e9galement connu sous le nom de Encrypthub et Larva-208. &#8220;L&#8217;acteur de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1604424,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,291781,79002,274264,4161,274263,6124,291784,9886,291782,8736,65,274267,4160,33925,4394,185,248,238617,246491,4172,291783,79016,4166,4164],"class_list":["post-1604423","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-cve202526633","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-darkwisp","tag-deployer","tag-eviltwin","tag-exploitent","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-msc","tag-pirates","tag-pour","tag-russes","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-silentprism","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1604423","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1604423"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1604423\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1604424"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1604423"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1604423"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1604423"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}