Août 16, 2025 — Des chercheurs de Trustwave SpiderLabs ont révélé une nouvelle campagne malveillante menée par le collectif russe EncryptHub (également connu sous les alias Water Gamayun ou LARVA-208). L’opération exploite une faille désormais corrigée (CVE-2025-26633, dénommée MSC EvilTwin) dans Microsoft Management Console (MMC) pour livrer un malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec cibleur, le Fickle Stealer, via des fichiers MSC falsifiés. The Hacker News+1
1. Contexte du groupe et pivot de la campagne
EncryptHub, actif depuis mi-2024, est un acteur cybercriminel russo-financé. Reconnu pour ses méthodes variées — fausses offres d’emploi, critiques de portfolios, ou compromission de jeux Steam — le groupe cible principalement les environnements sensibles via le stealer malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec The Hacker NewsCyber Security News.
2. Exploitation technique de la vulnérabilité
La vulnérabilité CVE-2025-26633, surnommée MSC EvilTwin, permet à un attaquant de duper MMC en lui faisant exécuter un fichier
.mscmalveillant placé dans le chemin MUIPath, prioritaire par rapport à un fichier légitime du même nom Cybersecurity DiveCyber Security Newsfranetic.comRewterz – Revolutionizing Cybersecurity.
3. Chaîne d’attaque observée
La campagne suit une logique en plusieurs étapes orchestrées via une combinaison de ruses sociales et de techniques de plateforme :
Leurre via Teams : l’attaquant se fait passer pour un technicien IT, invite la cible à établir une session via Microsoft Teams.
Commande PowerShell : via cette connexion, il envoie un script PowerShell qui récupère un fichier
runner.ps1.Exploitation MSC :
runner.ps1dépose deux fichiers.mscidentiques — l’un légitime, l’autre altéré placé dans MUIPath — déclenchant l’exécution silencieuse du malveillant Cyber Security NewsGBHackers.Payload dynamique : le fichier MSC malveillant télécharge des instructions AES-chiffrées du serveur C2, puis exécute le Fickle Stealer, capable de voler données, naviguer dans le système et maintenir un accès persistant The Hacker NewsGBHackers.
4. Outils complémentaires employés dans l’attaque
EncryptHub démontre un arsenal sophistiqué et évolutif :
SilentCrystal : un loader écrit en Go, utilisant la plateforme Brave Support pour héberger des ZIP malveillants, dont les MSC criminaux. Le groupe a contourné les restrictions d’upload via un compte privilégié The Hacker NewsGBHackers.
Backdoor Go-lang SOCKS5 : solution proxy permettant exfiltration de métadonnées, tunneling et accès à distance The Hacker NewsGBHackers.
Leurre RivaTalk : faux site de visioconférence diffusant un installeur MSI, permettant de lancer des exécutables légitimes (ELAM Symantec) pour charger ensuite un DLL malveillant, exécuter des scripts PowerShell furtifs, configurer la persistance et masquer le trafic C2 par des faux navigateurs vers des sites populaires The Hacker NewsGBHackers.
5. Tableau synthétique de la campagne
| Étape | Description |
|---|---|
| Identité du groupe | EncryptHub / Water Gamayun / LARVA-208 |
| Vulnérabilité exploitée | CVE-2025-26633 (MSC EvilTwin) |
| Méthode d’infection | Social engineering via Teams + exploitation .msc |
| Outils clés utilisés | Runner.ps1, SilentCrystal, Fickle Stealer |
| Persistence et furtivité | MUIPath, TLSProtocole de sécurisation des échanges sur le Web. HTTPS utilise TLS pour chiffrer les données. IETF, SOCKS5 tunneling, faux pop-up GUI/Web |
| Cibles visées | Environnements Web3, organisations Steam, etc. |
6. Recommandations de défense
Pour limiter cette menace :
Patch immédiat : appliquer les correctifs liés à CVE-2025-26633 dès que possible.
Formation & vigilance des utilisateurs : sensibiliser aux requêtes Teams impersonnelles ou inattendues.
Contrôles d’accès externalisés : surveiller et restreindre les plateformes comme Brave Support.
Analyse comportementale avancée : surveiller l’exécution anormale de
.msc, PowerShell, ou accès via MUIPath.Isolation des processus administratifs : réduire les accès à MMC, utiliser AppLocker/WDAC pour limiter l’exécution de fichiers MSI, MSC non approuvés.
Détection réseau proactive : identifier les tunnels SOCKS5, requêtes vers C2 masquées et webs forgés.
Conclusion
Cette récente campagne d’EncryptHub illustre un niveau élevé d’adaptation et de furtivité, combinant ruses humaines, abus de services réputés et exploitation fine de failles système. Pour les organisations, cela souligne une double exigence : corriger rapidement, et renforcer la détection contextuelle et comportementale pour contrer des adversaires qui manipulent les processus de confiance.