El actor de amenaza conocido como CiCrypThub explotó una vulnerabilidad de seguridad recientemente rompida en Microsoft Windows como un día cero para ofrecer una amplia gama de familias de malware, incluidas las puertas traseras y los robos de información como Rhadamanthys y Stealc.
«En este ataque, el actor de amenaza manipula los archivos .msc y la ruta de interfaz de usuario multilingüe (Muipath) para descargar y ejecutar la carga útil maliciosa, mantener la persistencia y robar datos confidenciales de sistemas infectados», dijo el investigador de Trend Micro Aliakbar Zahravi en un análisis.
La vulnerabilidad en cuestión es CVE-2025-26633 (puntaje CVSS: 7.0), descrito por Microsoft como una vulnerabilidad de neutralización inadecuada en la consola de administración de Microsoft (MMC) que podría permitir a un atacante evitar una función de seguridad localmente. La compañía lo solucionó a principios de este mes como parte de su actualización del parche martes.
Trend Micro ha dado la exploit al apodo MSC Eviltwin, rastreando el presunto grupo de actividades rusas bajo el nombre de Water Gamayun. El actor de amenaza, recientemente el tema de los análisis de ProDaft y Outpost24, también se llama LARVA-208.
CVE-2025-26633, en su núcleo, aprovecha el marco de la consola de administración de Microsoft (MMC) para ejecutar un archivo de consola de Microsoft (.msc) malicioso por medio de un cargador PowerShell conocido como cargador MSC eviltwin.
Específicamente, implica que el cargador cree dos archivos .msc con el mismo nombre: un archivo limpio y su contraparte rebelde que se elimina en la misma ubicación pero dentro de un directorio llamado «EN-US». La idea es que cuando se ejecuta el primero, MMC elige inadvertidamente el archivo malicioso y lo ejecuta. Esto se logra explotando la función de ruta de interfaz de usuario multilingüe de MMC (MUIPATH).
«Al abusar de la forma en que MMC.exe usa a Muipath, el atacante puede equipar a Muipath En-US con un archivo .msc malicioso, que causa que el mmc.exe cargue este archivo malicioso en lugar del archivo original y se ejecute sin el conocimiento de la víctima», explicó Zahravi.
También se ha observado que CiCrryPTHUB adopta otros dos métodos para ejecutar la carga útil maliciosa en un sistema infectado utilizando archivos .msc –
- Utilizando el método ExecureHellCommand de MMC para descargar y ejecutar una carga útil de la próxima etapa en la máquina de la víctima, un enfoque previamente documentado por la compañía holandesa de seguridad cibernética en agosto de 2024
- Uso de directorios de confianza simulada como «C: Windows System32» (tenga en cuenta el espacio después de Windows) para evitar el control de la cuenta del usuario (UAC) y soltar un archivo .msc malicioso llamado «wmimgmt.msc»
Trend Micro dijo que las cadenas de ataque probablemente comienzan con las víctimas que descargan archivos de instalador de Microsoft (MSI) firmados digitalmente que se hacen pasar por software chino legítimo como DingTalk o QqTalk, que luego se usa para obtener y ejecutar el cargador desde un servidor remoto. Se dice que el actor de amenaza ha estado experimentando con estas técnicas desde abril de 2024.
«Esta campaña está en desarrollo activo; emplea múltiples métodos de entrega y cargas útiles personalizadas diseñadas para mantener la persistencia y robar datos confidenciales, luego exfiltrarlo a los servidores de comando y control (C&C) de los atacantes», dijo Zahravi.