Water Gamayun, um grupo de ameaças persistentes avançadas (APT) alinhado à Rússia, lançou uma nova campanha de intrusão em vários estágios que transforma em arma a vulnerabilidade recentemente divulgada do MSC EvilTwin no Windows Microsoft Management Console (MMC).
Aproveitando uma combinação de infraestrutura comprometida, engenharia social e PowerShell altamente ofuscado, os invasores exploraram o CVE‑2025‑26633 para injetar código malicioso no mmc.exe, entregando cargas ocultas e carregadores finais de malware, ao mesmo tempo que minimizam as suspeitas do usuário.
A cadeia de ataque começa com uma pesquisa aparentemente inofensiva no Bing por “belay”, que retorna um resultado para o domínio legítimo da BELAY Solutions, belaysolutions[.]com.
Esse site provavelmente foi injetado com JavaScript malicioso projetado para redirecionar silenciosamente os usuários para um domínio semelhante recém-registrado, belaysolutions[.]link.
Lá, foi oferecido às vítimas o que parecia ser um folheto em PDF: um arquivo de extensão dupla chamado Hiring_assistant.pdf.rar, que explorava a confiança do usuário em formatos de documentos reconhecíveis.
Ao ser aberto, o Arquivo RAR descarta um arquivo .msc disfarçado de ativo de documento seguro. Este arquivo se torna o ponto central para a exploração do MSC EvilTwin, transformando uma interação rotineira do usuário em uma base para uma intrusão sofisticada baseada no PowerShell.
MSC Evil Twin (CVE‑2025‑26633)
O núcleo da operação está centrado em CVE‑2025‑26633uma vulnerabilidade MSC EvilTwin na resolução de caminho multilíngue do MMC.
Quando o usuário inicia o .msc descartado, o mmc.exe resolve caminhos MUI maliciosos que carregam um snap-in não autorizado em vez do legítimo.
Os comandos do TaskPad incorporados neste snap-in executam uma carga útil do PowerShell codificada em Base64 por meio de -EncodedCommand, iniciando o primeiro estágio de script oculto sem nenhum prompt visível.
Esse abuso de um binário confiável do Windows permite que os invasores façam proxy na execução por meio do mmc.exe, complicando a detecção comportamental e combinando atividades maliciosas com ferramentas administrativas comumente encontradas em ambientes corporativos.
O Estágio-1 Script do PowerShell baixa UnRAR.exe e um arquivo RAR protegido por senha, extrai a seguinte carga útil, introduz pequenos atrasos e, em seguida, usa Invoke-Expression para executar o script extraído.
Este script é fortemente ofuscado, usando Base64 aninhado com codificação UTF-16LE e limpeza de string baseada em sublinhado, uma marca registrada da arte de Water Gamayun.
O PowerShell do estágio 2 compila uma classe .NET mínima chamada WinHpXN para chamar a API Win32 ShowWindow, ocultando as janelas do console para minimizar a conscientização do usuário.
Em seguida, ele abre um PDF falso de aparência benigna para manter a ilusão de uma interação normal com o documento enquanto baixa, extrai e executa o carregador final ItunesC.exe várias vezes para persistência.
Ao longo desses estágios, arquivos protegidos por senha, senhas alfanuméricas fortes de 21 caracteres e caminhos aleatórios são usados para frustrar o sandbox e a análise estática.
Atribuição à Água Gamayun
O binário final, iTunesC.exe, é responsável pela instalação de backdoors ou malware para roubo de informações.
Embora a família exata não tenha sido confirmada devido à infraestrutura de comando e controle (C2) não responsiva, o arsenal conhecido de Water Gamayun inclui backdoors como SilentPrism e DarkWisp e ladrões como EncryptHub e Radamanthysqualquer um dos quais poderia ser implementado nesta fase.
Zscaler Threat Hunting atribuiu esta campanha a Water Gamayun com alta confiança, correlacionando vários fatores: exploração rara do MSC EvilTwin (CVE‑2025‑26633), padrões distintos de ofuscação do PowerShell, o uso da ocultação de janela WinHpXN.
Stub .NET, infraestrutura de caminho duplo hospedada em um único IP (103[.]246[.]147[.]17 com prefixos aleatórios como /cAKk9xnTB/ e /yyC15x4zbjbTd/) e iscas consistentes com temática de emprego e estilo de consumo, como “Hiring_assistant.pdf” e “iTunesC”.
Juntos, esses elementos refletem o manual mais amplo da Water Gamayun para 2025: explorar novas vulnerabilidades, abusar de binários confiáveis e criar camadas de ofuscação e OPSEC para coletar credenciais silenciosamente, exfiltrar dados confidenciais e manter bases de apoio de longo prazo em redes empresariais e governamentais de alto valor.
Indicadores de Compromisso (IoCs)
| Tipo | Indicador | Hash/Valor |
|---|---|---|
| Hash de arquivo | Hiring_assistente.pdf.rar | MD5: ba25573c5629cbc81c717e2810ea5afc |
| Hash de arquivo | UnRAR.exe | MD5: f3d83363ea68c707021bde0870121177 |
| Hash de arquivo | as_it_1_fsdfcx.rar | MD5: 97e4a6cbe8bda4c08c868f7bcf801373 |
| Hash de arquivo | as_it_1_fsdfcx.txt | MD5: caaaef4cf9cf8e9312da1a2a090f8a2c |
| Hash de arquivo | doc.pdf | MD5: f645558e8e7d5e4f728020af6985dd3f |
| Hash de arquivo | ItunesC.rar | MD5: e4b6c675f33796b6cf4d930d7ad31f95 |
| Senha de arquivo | k5vtzxdeDzicRCT | k5vtzxdeDzicRCT |
| Senha de arquivo | jkN5yyC15x4zbjbTdUS3y | jkN5yyC15x4zbjbTdUS3y |
| Endereço IP | 103.246.147.17 | 103.246.147.17 |
| Caminho de rede | /cAKk9xnTB/UnRAR.exe | /cAKk9xnTB/UnRAR.exe |
| Caminho de rede | /cAKk9xnTB/as_it_1_fsdfcx.rar | /cAKk9xnTB/as_it_1_fsdfcx.rar |
| Caminho de rede | /cAKk9xnTB/doc.pdf | /cAKk9xnTB/doc.pdf |
| Caminho de rede | /yyC15x4zbjbTd/ItunesC.rar | /yyC15x4zbjbTd/ItunesC.rar |
| Domínio | soluções de segurança[.]com | Legítimo, potencialmente comprometido |
| Domínio | soluções de segurança[.]link | Malicioso |
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.