Di recente, il panorama della sicurezza informatica è stato scosso da una nuova minaccia orchestrata da un gruppo di hacker russi noto come Water Gamayun. Questo gruppo, conosciuto anche come EncryptHub e LARVA-208, è stato identificato come responsabile dello sfruttamento di una vulnerabilità zero-day recentemente corretta in Microsoft Windows, denominata CVE-2025-26633. Questo attacco ha permesso il dispiegamento di due nuovi backdoor chiamati SilentPrism e DarkWisp.

Il metodo di attacco utilizzato da Water Gamayun si basa su pacchetti di provisioning dannosi, file .msi firmati e file MSC di Windows, sfruttando tecniche come l'uso di runnerw.exe di IntelliJ per l'esecuzione di comandi. L’obiettivo è l'infiltrazione del sistema tramite un file Microsoft Console (.msc) rogue, che consente l'esecuzione di malware. Questi attacchi non si limitano solo all'infiltrazione, ma mirano anche a garantire la persistenza e il furto di dati.

**SilentPrism** è un impianto di PowerShell che abilita la persistenza, l'esecuzione di comandi shell multipli in parallelo e il controllo remoto, incorporando tecniche di anti-analisi per evitare la rilevazione. D'altra parte, **DarkWisp** è progettato per la ricognizione del sistema, l'esfiltrazione di dati sensibili e la persistenza nel sistema infetto. Una volta che il malware esfiltra le informazioni di ricognizione e di sistema al server di comando e controllo, entra in un loop continuo in attesa di comandi, mantenendo una comunicazione continua tramite una connessione TCP sulla porta 8080.

Oltre a questi, Water Gamayun utilizza anche il loader MSC EvilTwin per sfruttare CVE-2025-26633, eseguendo un file .msc dannoso che conduce infine al dispiegamento del Rhadamanthys Stealer. Questo stealer non è l'unico nel loro arsenale; infatti, sono stati osservati distribuire anche un altro stealer chiamato StealC e tre varianti personalizzate di PowerShell, note come EncryptHub Stealer varianti A, B e C. Questi stealer personalizzati sono capaci di raccogliere una vasta gamma di informazioni di sistema, inclusi dettagli su software antivirus, software installato, adattatori di rete e applicazioni in esecuzione. Inoltre, estraggono password Wi-Fi, chiavi prodotto di Windows, cronologia degli appunti e credenziali dei browser.

Gli attacchi di Water Gamayun mettono in evidenza la loro capacità di adattarsi e compromettere i sistemi e i dati delle vittime attraverso metodi di consegna e tecniche variegate, come l'utilizzo di file MSI firmati per il provisioning di payload dannosi e l'uso di LOLBin per eseguire script PowerShell remoti su sistemi infetti. Questo rende evidente l'importanza di rafforzare le difese contro tali minacce persistenti e sofisticate.