Se ha encontrado que los actores de amenaza detrás de la explotación de un día cero de una vulnerabilidad de seguridad recientemente parada en Microsoft Windows entregan dos nuevas puertas traseras llamadas Precio silencioso y Darkwisp.
La actividad se ha atribuido a un presunto grupo de piratería ruso llamado Water Gamayun, que también se conoce como CiCrryPTHUB y LARVA-208.
«El actor de amenaza despliega las cargas útiles principalmente mediante paquetes de aprovisionamiento malicioso, archivos .msi firmados y archivos de MSC de Windows, utilizando técnicas como IntelliJ Runnerw.exe para la ejecución de comandos», dijeron las tendencia a los micro investigadores Aliakbar Zahravi y Ahmed Mohamed Ibrahim en un análisis de seguimiento publicado la semana pasada.
Water Gamayun se ha vinculado a la explotación activa del CVE-2025-26633 (también conocido como MSC Eviltwin), una vulnerabilidad en el marco de la consola de administración de Microsoft (MMC), para ejecutar malware por medio de un archivo Rogue Microsoft Console (.msc).
Las cadenas de ataque implican el uso de paquetes de aprovisionamiento (.ppkg), archivos de instalador de Microsoft Windows firmados (.msi) y archivos .msc para entregar información de robos y puertas traseras que son capaces de persistencia y robo de datos.
CiCrypThub llamó la atención a fines de junio de 2024, después de haber usado un repositorio de GitHub llamado «CiCryPTHUB» para impulsar varios tipos de familias de malware, incluidos robos, mineros y ransomware, a través de un sitio web falso de Winrar. Desde entonces, los actores de amenaza han hecho la transición a su infraestructura tanto para la puesta en escena como para los fines de comando y control (C&C).
Los instaladores .msi utilizados en los ataques se preparan como software legítimo de mensajería y reunión como Dingtalk, QQTalk y VOOV Reunión. Están diseñados para ejecutar un descargador de PowerShell, que luego se usa para obtener y ejecutar la carga útil de la próxima etapa en un host comprometido.
Uno de estos malware es un implante de PowerShell denominado SilentPrism que puede configurar la persistencia, ejecutar múltiples comandos de shell simultáneamente y mantener el control remoto, al tiempo que incorpora técnicas anti-análisis para evadir la detección. Otra puerta trasera de PowerShell es DarkWisp, que permite el reconocimiento del sistema, la exfiltración de datos confidenciales y la persistencia.
«Una vez que el malware exfiltra el reconocimiento y la información del sistema al servidor C&C, ingresa a un bucle continuo esperando comandos», dijeron los investigadores. «El malware acepta comandos a través de una conexión TCP en el puerto 8080, donde llegan los comandos en el comando de formato |
«El bucle de comunicación principal garantiza una interacción continua con el servidor, manejar comandos, mantener la conectividad y transmitir de forma segura los resultados».
La tercera carga útil que se redujo en los ataques es el cargador MSC Eviltwin que armaba CVE-2025-26633 para ejecutar un archivo .msc malicioso, lo que finalmente conduce al despliegue del robador de Rhadamanthys. El cargador también está diseñado para realizar una limpieza del sistema para evitar dejar un sendero forense.
Rhadamanthys está lejos de ser el único robador en el arsenal de Gamayun de Water, ya que se ha observado que entrega otro robador de productos llamados STEALC, así como tres variantes personalizadas de PowerShell denominadas Variant A, variantes B y variantes.
El Stealer a medida es un malware totalmente característico que puede recopilar información extensa del sistema, incluidos detalles sobre el software antivirus, el software instalado, los adaptadores de red y las aplicaciones en ejecución. También extrae contraseñas de Wi-Fi, claves de productos de Windows, historial de portapapeles, credenciales de navegador y datos de sesión de varias aplicaciones relacionadas con mensajes, VPN, FTP y administración de contraseñas.
Además, destaca específicamente archivos que coinciden con ciertas palabras clave y extensiones, lo que indica un enfoque en recopilar frases de recuperación asociadas con billeteras de criptomonedas.
«Estas variantes exhiben funcionalidades y capacidades similares, con solo modificaciones menores que las distinguen», señalaron los investigadores. «Todas las variantes de CiCrypThub cubiertas en esta investigación son versiones modificadas del robador kematiano de código abierto».
Una iteración del robador de cifrado es notable para el uso de una nueva técnica binaria viva-de la tierra (LOLBIN) en la que el lanzador de procesos IntelliJ «Runnerw.exe» se utiliza para obtener la ejecución de un script de PowerShell remoto en un sistema infectado.
También se ha encontrado que los artefactos del robador, distribuidos a través de paquetes MSI maliciosos o gotas de malware binarias, propagan a otras familias de malware como Lumma Stealer, Amadey y Clippers.
El análisis posterior de la infraestructura C&C del actor de amenaza («82.115.223 (.) 182») ha revelado el uso de otros scripts de PowerShell para descargar y ejecutar el software Anydesk para acceso remoto y la capacidad de los operadores para enviar comandos remotos codificados Base64 a la máquina de víctimas.
«El uso de Water Gamayun de varios métodos y técnicas de entrega en su campaña, como el aprovisionamiento de cargas útiles maliciosas a través de archivos de instalador de Microsoft firmados y aprovechando LOLBins, resalta su adaptabilidad para comprometer los sistemas y datos de las víctimas», dijo Trend Micro.
«Sus cargas útiles intrincadamente diseñadas y la infraestructura de C&C permiten al actor de amenaza mantener la persistencia, controlar dinámicamente los sistemas infectados y ofuscar sus actividades».