Aktor ancaman yang dikenal sebagai Encrypthub mengeksploitasi kerentanan keamanan yang baru-baru ini ditonton di Microsoft Windows sebagai hari nol untuk memberikan berbagai keluarga malware, termasuk pintu belakang dan pencuri informasi seperti Rhadamanthys dan StealC.
“Dalam serangan ini, aktor ancaman memanipulasi file .msc dan jalur antarmuka pengguna multibahasa (Muipath) untuk mengunduh dan menjalankan muatan jahat, mempertahankan kegigihan dan mencuri data sensitif dari sistem yang terinfeksi,” kata peneliti mikro tren Aliakbar Zahravi dalam sebuah analisis.
Kerentanan yang dimaksud adalah CVE-2025-26633 (skor CVSS: 7.0), dijelaskan oleh Microsoft sebagai kerentanan netralisasi yang tidak tepat dalam Microsoft Management Console (MMC) yang dapat memungkinkan penyerang untuk mem-bypass fitur keamanan secara lokal. Itu ditetapkan oleh perusahaan awal bulan ini sebagai bagian dari pembaruan Patch Tuesday.
Trend Micro telah memberikan eksploitasi moniker MSC Eviltwin, melacak kluster aktivitas Rusia yang dicurigai dengan nama Water Gamayun. Aktor ancaman, baru-baru ini subjek analisis oleh ProPaft dan Outpost24, juga disebut Larva-208.
CVE-2025-26633, pada intinya, memanfaatkan Microsoft Management Console Framework (MMC) untuk menjalankan file Microsoft Console (.msc) yang berbahaya dengan menggunakan Loader PowerShell yang disebut sebagai MSC Eviltwin Loader.
Secara khusus, ini melibatkan loader membuat dua file .msc dengan nama yang sama: satu file bersih dan mitra nakal yang dijatuhkan di lokasi yang sama tetapi dalam direktori bernama “en-us.” Idenya adalah bahwa ketika yang pertama dijalankan, MMC secara tidak sengaja memilih file jahat sebagai gantinya dan menjalankannya. Ini dicapai dengan mengeksploitasi fitur Path Interface Path (MUIPATH) multibahasa MMC.
“Dengan menyalahgunakan cara MMC.exe menggunakan Muipath, penyerang dapat melengkapi Muipath en-us dengan file .msc jahat, yang menyebabkan MMC.exe memuat file jahat ini alih-alih file asli dan dieksekusi tanpa sepengetahuan korban,” Zahravi menjelaskan.
Encrypthub juga telah diamati mengadopsi dua metode lain untuk menjalankan muatan berbahaya pada sistem yang terinfeksi menggunakan file .msc –
- Menggunakan Metode ExecuteShellCommand MMC untuk mengunduh dan menjalankan muatan tahap berikutnya pada mesin korban, sebuah pendekatan yang sebelumnya didokumentasikan oleh perusahaan cybersecurity Belanda Outflank pada Agustus 2024
- Menggunakan Direktori Terpercaya Mock seperti “C: \ Windows \ System32” (perhatikan ruang setelah windows) untuk memotong kontrol akun pengguna (UAC) dan lepaskan file .msc berbahaya yang disebut “wmimgmt.msc”
Trend Micro mengatakan rantai serangan kemungkinan dimulai dengan korban mengunduh file Microsoft Installer (MSI) yang ditandatangani secara digital menyamar sebagai perangkat lunak Cina yang sah seperti DingTalk atau QQTalk, yang kemudian digunakan untuk mengambil dan menjalankan loader dari server jarak jauh. Dikatakan bahwa aktor ancaman telah bereksperimen dengan teknik -teknik ini sejak April 2024.
“Kampanye ini sedang dalam pengembangan aktif; ia menggunakan beberapa metode pengiriman dan muatan khusus yang dirancang untuk mempertahankan kegigihan dan mencuri data sensitif, kemudian mengekspresikannya ke server komando dan kontrol (C&C) penyerang,” kata Zahravi.
