Il gruppo hacker russo noto come EncryptHub ha recentemente intensificato le sue attività sfruttando una vulnerabilità ormai corretta ma ancora molto pericolosa nei sistemi Microsoft Windows, denominata CVE-2025-26633, nota anche come MSC EvilTwin. Questa falla si trova nel framework Microsoft Management Console (MMC) e permette agli attaccanti di eseguire codice malevolo tramite file MSC manipolati, aggirando così le difese di sicurezza.

La campagna e le tecniche di attacco

La campagna individuata da Trustwave SpiderLabs combina tecniche di social engineering con l’abuso tecnico di questa vulnerabilità. Gli attaccanti si spacciano per personale IT e inviano richieste su Microsoft Teams alle vittime, convincendole a stabilire una connessione remota. In seguito, vengono inviati due file MSC con lo stesso nome: uno legittimo e uno malevolo. Avviando il file apparentemente innocuo, la vittima attiva in realtà quello dannoso, permettendo così l’esecuzione di script PowerShell che raccolgono informazioni sul sistema e instaurano una persistenza sul dispositivo infetto.

Payload e strumenti utilizzati

Il payload principale distribuito in questa campagna è Fickle Stealer, un malware specializzato nel furto di dati. Lo script PowerShell riceve comandi cifrati AES dal server di comando e controllo (C2) degli attaccanti, li decifra ed esegue direttamente le istruzioni malevole sulla macchina compromessa. Inoltre, EncryptHub utilizza un loader sviluppato in Go, denominato SilentCrystal, che sfrutta la piattaforma Brave Support per ospitare ulteriori malware e distribuire file ZIP contenenti i file MSC manipolati.

Abuso di servizi affidabili e strumenti aggiuntivi

Un aspetto rilevante della campagna è l’abuso di piattaforme affidabili come Brave Support, dove normalmente l’upload di file è riservato a utenti verificati. Ciò indica che gli attaccanti sono riusciti a ottenere credenziali valide, ampliando così le possibilità di compromissione. Oltre ai file MSC, vengono impiegati altri strumenti come backdoor in Golang capaci di instaurare tunnel SOCKS5 e piattaforme di videoconferenza fasulle, tra cui RivaTalk, per indurre ulteriormente le vittime a scaricare malware tramite file MSI contraffatti.

Tecniche di evasione e persistenza

Il vettore di attacco include anche tecniche di sideloading, utilizzando file legittimi di Symantec per caricare DLL malevoli e lanciare ulteriori script PowerShell. Questi script raccolgono informazioni e attendono istruzioni cifrate, mantenendo il controllo remoto del sistema. Il malware genera anche traffico web fittizio verso siti famosi per camuffare le comunicazioni con il C2.

EncryptHub si dimostra così un gruppo sofisticato, capace di combinare ingegneria sociale, sfruttamento di vulnerabilità e abuso di servizi affidabili per compromettere sistemi e rubare informazioni sensibili.