Gli attori della minaccia dietro lo sfruttamento zero-day di una vulnerabilità di sicurezza recentemente abbinata a Microsoft Home windows sono stati trovati per fornire due nuovi backdoor chiamati Silenzio E Darkwisp.
L’attività è stata attribuita a un sospetto gruppo di hacking russo chiamato Gamayun d’acquache è anche noto come cripthob e larva-208.
“L’attore della minaccia distribuisce i payload principalmente per mezzo di pacchetti di provisioning dannosi, file .msi firmati e file di Home windows MSC, utilizzando tecniche come Intellij runnerw.exe per l’esecuzione dei comandi” disse In un’analisi di follow-up pubblicata la scorsa settimana.
Water Gamayun è stato collegato allo sfruttamento attivo di CVE-2025-26633 (aka MSC EVILTWIN), una vulnerabilità nel framework Microsoft Administration Console (MMC), per eseguire malware per mezzo di un file Rogue Microsoft Console (.MSC).
Le catene di attacco prevedono l’uso di pacchetti di provisioning (.PPKG), i file di installazione di Microsoft Home windows firmati (.MSI) e i file .MSC per fornire rubate di informazioni e backdoor in grado di persistenza e furto di dati.
Criptubub ha attirato l’attenzione Verso la wonderful di giugno 2024, dopo aver usato un repository GitHub chiamato “criptub -ub” per spingere vari tipi di famiglie di malware, tra cui rubate, minatori e ransomware, tramite un sito Net falso Winrar. Da allora gli attori della minaccia sono passati alla loro infrastruttura sia per la messa in scena che per gli scopi di comando e controllo (C&C).
Gli installatori .msi utilizzati negli attacchi si mascherano come software program legittimi di messaggistica e incontro come DingTalk, QQTalk e VOOV. Sono progettati per eseguire un downloader di PowerShell, che viene quindi utilizzato per recuperare ed eseguire il payload in stadio successivo su un host compromesso.
Uno di questi malware è un impianto PowerShell soprannominato silenzio che può impostare la persistenza, eseguire simultaneamente più comandi di shell e mantenere il controllo remoto, incorporando anche tecniche anti-analisi per eludere il rilevamento. Un altro backdoor di PowerShell è Darkwisp, che consente la ricognizione del sistema, l’esfiltrazione di dati sensibili e la persistenza.
“Una volta che il malware exfiltrates di ricognizione e informazioni di sistema al server C&C, entra in un ciclo continuo in attesa di comandi”, hanno affermato i ricercatori. “Il malware accetta comandi tramite una connessione TCP sulla porta 8080, in cui i comandi arrivano nel comando formato |
“Il principale ciclo di comunicazione garantisce l’interazione continua con il server, la gestione dei comandi, il mantenimento della connettività e la trasmissione in modo sicuro.”
Il terzo payload è caduto negli attacchi è il caricatore MSC EVILTWIN che arma CVE-2025-26633 per eseguire un file .MSC dannoso, portando alla wonderful allo spiegamento del furto di Rhadamanthys. Il caricatore è inoltre progettato per eseguire una pulizia del sistema per evitare di lasciare una pista forense.
Rhadamanthys è tutt’altro che l’unico furto nell’arsenale di Water Gamayun, poiché è stato osservato consegnando un altro furto di merci chiamato Stealc, nonché tre varianti di Powershell personalizzate denominate varianti di Stealer A, variante B e variante C.
Il furto su misura è malware in modo completo in grado di raccogliere informazioni di sistema estese, inclusi dettagli sul software program antivirus, software program installato, adattatori di rete e applicazioni in esecuzione. Estrae anche password Wi-Fi, chiavi del prodotto Home windows, cronologia degli appunti, credenziali del browser e dati di sessione da varie app relative a messaggi, VPN, FTP e gestione delle password.
Inoltre, individua specificamente i file che corrispondono a determinate parole chiave ed estensioni, indicando un focus sulla raccolta di frasi di recupero affiliate ai portafogli di criptovaluta.
“Queste varianti presentano funzionalità e capacità simili, con solo lievi modifiche che le distinguono”, hanno osservato i ricercatori. “Tutte le varianti di cripthob trattate in questa ricerca sono versioni modificate dell’Open-Supply Stealer kematian. “
Un’iterazione del furto di criptHub è degna di nota per l’uso di una nuova tecnica binaria di terra (LOLBIN) in cui il lanciatore di processi di Intellij “Runnerw.exe” viene utilizzato per procurarsi l’esecuzione di una remota sceneggiatura di PowerShell su un sistema infetto.
Sono stati anche trovati anche i manufatti di Stealer, distribuiti attraverso pacchetti MSI dannosi o gocce di malware binarie. Clippers.
Ulteriori analisi dell’infrastruttura C&C dell’attore minaccia (“82.115.223 (.) 182”) ha rivelato l’uso di altri script di PowerShell per scaricare ed eseguire il software program AnyDesk per l’accesso remoto e la capacità degli operatori di inviare comandi remoti codificati da Base64.
“L’uso da parte di Water Gamayun di vari metodi e tecniche di consegna nella sua campagna, come il provisioning di payloics malintenzionati tramite file di installazione di Microsoft firmati e sfruttando Lolbins, evidenzia la loro adattabilità nel compromettere i sistemi e i dati delle vittime”, ha affermato Pattern Micro.
“I loro payload progettati in modo intricato e l’infrastruttura C&C consentono all’attore delle minacce di mantenere la persistenza, controllare dinamicamente i sistemi infetti e offuscare le loro attività”.
