Aktor ancaman di balik eksploitasi nol-hari dari kerentanan keamanan yang baru saja ditonton di Microsoft Windows telah ditemukan untuk memberikan dua pintu belakang baru yang disebut Silentprism Dan Darkwisp.
Kegiatan ini telah dikaitkan dengan dugaan kelompok peretasan Rusia yang disebut Water Gamayun, yang juga dikenal sebagai Encrypthub dan Larva-208.
“Aktor ancaman menyebarkan muatan terutama melalui paket penyediaan berbahaya, menandatangani file .msi, dan file Windows MSC, menggunakan teknik seperti Intellij Runnerw.exe untuk eksekusi perintah,” kata peneliti mikro tren Aliakbar Zahravi dan Ahmed Mohamed Ibrahim dalam analisis tindak lanjut yang diterbitkan.
Water Gamayun telah dikaitkan dengan eksploitasi aktif CVE-2025-26633 (alias MSC Eviltwin), kerentanan dalam kerangka kerja Microsoft Management Console (MMC), untuk menjalankan malware dengan menggunakan file konsol Microsoft Rogue.
Rantai serangan melibatkan penggunaan paket penyediaan (.ppkg), file pemasang Microsoft Windows yang ditandatangani (.msi), dan file .msc untuk memberikan pencuri informasi dan backdoors yang mampu melakukan ketekunan dan pencurian data.
Encrypthub mendapat perhatian menjelang akhir Juni 2024, setelah menggunakan repositori GitHub bernama “Encrypthub” untuk mendorong berbagai jenis keluarga malware, termasuk pencuri, penambang, dan ransomware, melalui situs web Winrar palsu. Aktor ancaman telah beralih ke infrastruktur mereka untuk tujuan pementasan dan komando-dan-kontrol (C&C).
Pemasang .msi yang digunakan dalam serangan menyamar sebagai pesan pesan dan pertemuan yang sah seperti DingTalk, QQTalk, dan rapat VOOV. Mereka dirancang untuk mengeksekusi pengunduh PowerShell, yang kemudian digunakan untuk mengambil dan menjalankan muatan tahap berikutnya pada host yang dikompromikan.
Salah satu malware tersebut adalah implan PowerShell yang dijuluki Silentprism yang dapat mengatur kegigihan, menjalankan beberapa perintah shell secara bersamaan, dan mempertahankan remote control, sementara juga menggabungkan teknik anti-analisis untuk menghindari deteksi. PowerShell backdoor note lainnya adalah Darkwisp, yang memungkinkan pengintaian sistem, eksfiltrasi data sensitif, dan kegigihan.
“Setelah malware mengeksponisasi pengintaian dan informasi sistem ke server C&C, ia memasuki loop terus menerus menunggu perintah,” kata para peneliti. “Malware menerima perintah melalui koneksi TCP di port 8080, di mana perintah tiba di perintah format |
“Loop komunikasi utama memastikan interaksi berkelanjutan dengan server, menangani perintah, mempertahankan konektivitas, dan mengirimkan hasil dengan aman.”
Muatan ketiga yang jatuh dalam serangan adalah MSC Eviltwin Loader yang mempersenjatai CVE-2025-26633 untuk mengeksekusi file .msc berbahaya, yang pada akhirnya mengarah ke penyebaran pencuri rhadamanthys. Loader juga dirancang untuk melakukan pembersihan sistem untuk menghindari meninggalkan jejak forensik.
Rhadamanthys jauh dari satu -satunya pencuri di gudang air Gamayun, karena telah diamati memberikan pencuri komoditas lain yang disebut stealc, serta tiga varian PowerShell khusus yang disebut sebagai varian pencuri encrypthub A, varian B, dan varian C.
Pencuri yang dipesan lebih dahulu adalah malware berfitur lengkap yang dapat mengumpulkan informasi sistem yang luas, termasuk perincian tentang perangkat lunak antivirus, perangkat lunak yang diinstal, adaptor jaringan, dan aplikasi yang menjalankan. Ini juga mengekstraksi kata sandi Wi-Fi, kunci produk Windows, riwayat clipboard, kredensial browser, dan data sesi dari berbagai aplikasi yang terkait dengan pesan, VPN, FTP, dan manajemen kata sandi.
Selain itu, ini secara khusus memilih file yang cocok dengan kata kunci dan ekstensi tertentu, menunjukkan fokus pada pengumpulan frasa pemulihan yang terkait dengan dompet cryptocurrency.
“Varian ini menunjukkan fungsi dan kemampuan yang serupa, dengan hanya modifikasi kecil yang membedakannya,” kata para peneliti. “Semua varian encrypthub yang tercakup dalam penelitian ini adalah versi yang dimodifikasi dari pencuri Kematian open-source.”
Salah satu iterasi dari Encrypthub Stealer patut diperhatikan untuk penggunaan teknik biner (LOLBIN) baru di mana peluncur proses IntelliJ “runnerw.exe” digunakan untuk memprediksi pelaksanaan skrip PowerShell jarak jauh pada sistem yang terinfeksi.
Artefak pencuri, didistribusikan melalui paket MSI berbahaya atau tetesan malware biner, juga telah ditemukan untuk menyebarkan keluarga malware lain seperti Lumma Stealer, Amadey, dan Clippers.
Analisis lebih lanjut dari infrastruktur C&C aktor ancaman (“82.115.223[.]182 “) telah mengungkapkan penggunaan skrip PowerShell lainnya untuk mengunduh dan menjalankan perangkat lunak apa pun untuk akses jarak jauh dan kemampuan operator untuk mengirim perintah jarak jauh yang dikodekan oleh Base64 ke mesin korban.
“Penggunaan berbagai metode dan teknik pengiriman Gamayun dalam kampanyenya, seperti menyediakan muatan berbahaya melalui file pemasang Microsoft yang ditandatangani dan memanfaatkan LOLBIN, menyoroti kemampuan beradaptasi mereka dalam mengkompromikan sistem dan data para korban,” kata Trend Micro.
“Payload mereka yang dirancang dengan rumit dan infrastruktur C&C memungkinkan aktor ancaman untuk mempertahankan kegigihan, secara dinamis mengendalikan sistem yang terinfeksi, dan mengaburkan kegiatan mereka.”
