Os agentes de ameaças responsáveis pela exploração de zero-day de uma vulnerabilidade de segurança recentemente corrigida no Microsoft Windows foram encontrados entregando dois novos backdoors chamados SilentPrism e DarkWisp.
A atividade foi atribuída a um grupo de hacking russo suspeito chamado Water Gamayun, que também é conhecido como EncryptHub e LARVA-208.
"O agente de ameaça implanta payloads principalmente por meio de pacotes de provisionamento maliciosos, arquivos .msi assinados e arquivos MSC do Windows, utilizando técnicas como o IntelliJ runnerw.exe para execução de comandos," disseram os pesquisadores da Trend Micro, Aliakbar Zahravi e Ahmed Mohamed Ibrahim, em uma análise de acompanhamento publicada na última semana.
Water Gamayun foi vinculado à exploração ativa do
CVE-2025-26633
(conhecido como MSC EvilTwin), uma vulnerabilidade no framework Microsoft Management Console (MMC), para executar malware por meio de um arquivo Microsoft Console (.msc) mal-intencionado.
As cadeias de ataque envolvem o uso de pacotes de provisionamento (.ppkg), arquivos assinados do Microsoft Windows Installer (.msi) e arquivos .msc para entregar ladrões de informações e backdoors que são capazes de persistência e roubo de dados.
EncryptHub chamou atenção no final de junho de 2024, após ter usado um repositório no GitHub chamado "encrypthub" para distribuir várias famílias de malware, incluindo stealers, miners e ransomware, através de um site falso do WinRAR.
Desde então, os agentes de ameaças passaram para sua própria infraestrutura para fins de staging e comando e controle (C&C).
Os instaladores .msi usados nos ataques se disfarçam como software legítimo de mensagem e reunião, como DingTalk, QQTalk e VooV Meeting.
Eles são projetados para executar um downloader do PowerShell, que é então usado para buscar e executar o payload da próxima etapa em um host comprometido.
EncryptHub Stealer – Fluxo de execução e arquitetura Um desses malwares é um implante do PowerShell chamado SilentPrism que pode configurar persistência, executar múltiplos comandos de shell simultaneamente e manter controle remoto, enquanto também incorpora técnicas anti-análise para evitar detecção.
Outro backdoor do PowerShell de nota é o DarkWisp, que possibilita reconhecimento do sistema, exfiltração de dados sensíveis e persistência.
"Uma vez que o malware exfiltra reconhecimento e informação do sistema para o servidor C&C, ele entra em um loop contínuo esperando por comandos," os pesquisadores disseram.
O malware aceita comandos através de uma conexão TCP na porta 8080, onde os comandos chegam no formato COMMAND|<comando_codificado_em_base64>." "O loop principal de comunicação garante interação contínua com o servidor, tratando comandos, mantendo conectividade e transmitindo resultados de forma segura.
O terceiro payload distribuído nos ataques é o carregador MSC EvilTwin que arma o
CVE-2025-26633
para executar um arquivo .msc malicioso, levando à implantação do Rhadamanthys Stealer.
O carregador também é projetado para realizar uma limpeza do sistema para evitar deixar um rastro forense.
Fluxo de execução do DarkWisp Rhadamanthys está longe de ser o único stealer no arsenal do Water Gamayun, pois observou-se a entrega de outro stealer comum chamado StealC, bem como três variantes customizadas do PowerShell referidas como EncryptHub Stealer variante A, variante B e variante C.
O stealer sob medida é um malware totalmente equipado que pode coletar informações extensivas do sistema, incluindo detalhes sobre software antivírus, software instalado, adaptadores de rede e aplicativos em execução.
Ele também extrai senhas Wi-Fi, chaves de produto do Windows, histórico da área de transferência, credenciais de navegador e dados de sessão de vários aplicativos relacionados à mensagens, VPN, FTP e gerenciamento de senhas.
Além disso, ele especificamente busca arquivos correspondendo a certas palavras-chave e extensões, indicando um foco na coleta de frases de recuperação associadas a carteiras de criptomoedas.
"Essas variantes exibem funcionalidades e capacidades similares, com apenas modificações menores as distinguindo," os pesquisadores notaram.
"Todas as variantes do EncryptHub abordadas nesta pesquisa são versões modificadas do Kematian Stealer de código aberto." Uma iteração do EncryptHub Stealer é notável pelo uso de uma nova técnica de living-off-the-land binary (LOLBin) na qual o lançador de processo do IntelliJ "runnerw.exe" é usado para intermediar a execução de um script remoto do PowerShell em um sistema infectado.
Os artefatos do stealer, distribuídos através de pacotes MSI maliciosos ou droppers de malware binário, também foram encontrados propagando outras famílias de malware como Lumma Stealer, Amadey e clippers.
Uma análise mais aprofundada da infraestrutura C&C do agente de ameaças ("82.115.223[.]182") revelou o uso de scripts do PowerShell para baixar e executar o software AnyDesk para acesso remoto e a capacidade dos operadores de enviar comandos remotos codificados em Base64 para a máquina da vítima.
"O uso pelo Water Gamayun de vários métodos e técnicas de entrega em sua campanha, como provisão de payloads maliciosos através de arquivos Microsoft Installer assinados e aproveitamento de LOLBins, destaca sua adaptabilidade em comprometer sistemas e dados das vítimas," a Trend Micro disse.
Seus payloads intricadamente projetadas e infraestrutura C&C possibilitam ao agente de ameaças manter persistência, controlar dinamicamente sistemas infectados e obfuscar suas atividades.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...