Il recente attacco informatico orchestrato da EncryptHub ha suscitato notevole allarme nel settore della sicurezza informatica. Questo gruppo di cybercriminali ha sfruttato una vulnerabilità di tipo zero-day presente in Microsoft Windows per distribuire una serie di malware, tra cui backdoor e stealer di informazioni come Rhadamanthys e StealC. Il punto focale di questo exploit è la manipolazione dei file .msc e dell’interfaccia utente multilingue (MUIPath) per scaricare ed eseguire payload malevoli, mantenendo la persistenza nei sistemi infettati e rubando dati sensibili.

Vulnerabilità sfruttata

La vulnerabilità sfruttata, identificata come CVE-2025-26633, è stata descritta da Microsoft come una vulnerabilità di neutralizzazione impropria all’interno della Microsoft Management Console (MMC). Questa falla di sicurezza consente agli aggressori di bypassare una funzionalità di sicurezza a livello locale e nonostante sia stata corretta da Microsoft nel recente Patch Tuesday, è stata utilizzata da EncryptHub per compromettere i sistemi non aggiornati.

Exploit MSC EvilTwin

Trend Micro ha denominato questo exploit come MSC EvilTwin, tracciando il cluster di attività sospette di origine russa sotto il nome Water Gamayun. La specificità dell’attacco risiede nella creazione di due file .msc con lo stesso nome, uno legittimo e uno malevolo, collocati nella stessa directory. Grazie a un’abile ingegneria sociale e all’uso improprio della funzionalità MUIPath di MMC, il file malevolo viene eseguito al posto di quello legittimo.

Altre tecniche di attacco

Oltre a questo metodo principale, EncryptHub ha utilizzato altre tecniche per eseguire payload malevoli su sistemi infetti, tra cui l’uso del metodo ExecuteShellCommand di MMC per scaricare ed eseguire un payload di fase successiva e l’utilizzo di directory false per bypassare i controlli dell’account utente (UAC).

Varianti di malware

Dustin Childs di Trend Micro Zero Day Initiative ha riferito che EncryptHub ha sviluppato varianti di malware personalizzate come EncryptHub Stealer e backdoor come DarkWisp e SilentPrism, che sono stati raggruppati sotto il nome EncryptRAT da Outpost24. Gli attacchi iniziano solitamente con il download di file MSI firmati digitalmente che impersonano software cinesi legittimi, utilizzati per scaricare ed eseguire il loader da un server remoto. Questo modus operandi è in fase di sperimentazione da parte degli attaccanti fin da aprile 2024.

Raccomandazioni di sicurezza

Questa campagna è in continua evoluzione e utilizza metodi di consegna multipli e payload personalizzati per mantenere la persistenza e sottrarre dati sensibili, esfiltrandoli verso i server di comando e controllo degli attaccanti. Gli esperti di sicurezza raccomandano di aggiornare immediatamente i sistemi Windows per proteggersi da questa minaccia emergente.