L’acteur malveillant connu sous le nom d’ EncryptHub continue d’exploiter une faille de sécurité désormais corrigée affectant Microsoft Windows pour diffuser des charges utiles malveillantes.

Trustwave SpiderLabs a déclaré avoir récemment observé une campagne EncryptHub qui combine l’ingénierie sociale et l’exploitation d’une vulnérabilité dans le framework Microsoft Management Console (MMC) (CVE-2025-26633, alias MSC EvilTwin ) pour déclencher la routine d’infection via un fichier Microsoft Console (MSC) malveillant.

« Ces activités font partie d’une vaste vague continue d’activités malveillantes qui combine l’ingénierie sociale avec l’exploitation technique pour contourner les défenses de sécurité et prendre le contrôle des environnements internes », ont déclaré les chercheurs de Trustwave Nathaniel Morales et Nikita Kazymirskyi .

EncryptHub, également connu sous les noms de LARVA-208 et Water Gamayun, est un groupe de hackers russe qui s’est fait connaître mi-2024. Opérant à un rythme soutenu, ce groupe motivé par l’argent est connu pour utiliser plusieurs méthodes, notamment de fausses offres d’emploi, des analyses de portfolios et même la compromission de jeux Steam, afin d’infecter ses cibles avec des logiciels malveillants voleurs.

L’abus de CVE-2025-26633 par l’acteur de la menace a déjà été documenté par Trend Micro en mars 2025, révélant des attaques qui fournissent deux portes dérobées appelées SilentPrism et DarkWisp.

La dernière séquence d’attaque implique que l’acteur de la menace prétend appartenir au service informatique et envoie une requête Microsoft Teams à la cible dans le but d’initier une connexion à distance et de déployer des charges utiles secondaires au moyen de commandes PowerShell.

Parmi les fichiers déposés figurent deux fichiers MSC portant le même nom, l’un bénin et l’autre malveillant, qui sont utilisés pour déclencher CVE-2025-26633, entraînant finalement l’exécution du fichier MSC malveillant lorsque son homologue inoffensif est lancé.

Le fichier MSC, quant à lui, récupère et exécute à partir d’un serveur externe un autre script PowerShell qui collecte des informations système, établit la persistance sur l’hôte et communique avec un serveur de commande et de contrôle (C2) EncryptHub pour recevoir et exécuter des charges utiles malveillantes, y compris un voleur appelé Fickle Stealer.

« Le script reçoit des commandes cryptées AES de l’attaquant, les décrypte et exécute les charges utiles directement sur la machine infectée », ont déclaré les chercheurs.

L’acteur de la menace a également déployé au cours de l’attaque un chargeur basé sur Go nommé SilentCrystal, qui abuse de Brave Support, une plate-forme légitime associée au navigateur Web Brave, pour héberger un malware de niveau supérieur : une archive ZIP contenant les deux fichiers MSC pour armer CVE-2025-26633.

Ce qui rend cela significatif, c’est que le téléchargement de pièces jointes sur la plateforme Brave Support est limité aux nouveaux utilisateurs, ce qui indique que les attaquants ont réussi d’une manière ou d’une autre à obtenir un accès non autorisé à un compte avec des autorisations de téléchargement pour mener à bien le stratagème.

Certains des autres outils déployés incluent une porte dérobée Golang qui fonctionne à la fois en mode client et en mode serveur pour envoyer des métadonnées système au serveur C2, ainsi que pour configurer l’infrastructure C2 en utilisant le protocole de tunneling proxy SOCKS5 .

Il existe également des preuves que les acteurs de la menace continuent de s’appuyer sur des leurres de vidéoconférence, en créant cette fois de fausses plateformes comme RivaTalk pour tromper les victimes et les inciter à télécharger un programme d’installation MSI.

L’exécution du programme d’installation entraîne la livraison de plusieurs fichiers : le binaire d’installation légitime Early Launch Anti-Malware (ELAM) de Symantec qui est utilisé pour charger une DLL malveillante qui, à son tour, lance une commande PowerShell pour télécharger et exécuter un autre script PowerShell.

Il est conçu pour collecter des informations système et les exfiltrer vers le serveur C2, puis attendre les instructions PowerShell chiffrées, décodées et exécutées pour donner aux attaquants le contrôle total du système. Le malware affiche également un faux message contextuel de « Configuration système » comme ruse, tout en lançant une tâche en arrière-plan pour générer du trafic de navigateur factice en envoyant des requêtes HTTP à des sites web populaires afin de mélanger les communications C2 avec l’activité réseau normale.

« L’acteur de la menace EncryptHub représente un adversaire bien doté en ressources et adaptable, combinant l’ingénierie sociale, l’abus de plateformes de confiance et l’exploitation des vulnérabilités du système pour maintenir la persistance et le contrôle », a déclaré Trustwave.

« Leur utilisation de fausses plateformes de vidéoconférence, de structures de commande cryptées et d’outils de logiciels malveillants en constante évolution souligne l’importance des stratégies de défense à plusieurs niveaux, des renseignements continus sur les menaces et de la formation des utilisateurs à la sensibilisation. »