EncryptHub 利用 Windows 零日漏洞部署 Rhadamanthys 和 StealC 恶意软件

名为EncryptHub的威胁行为者利用 Microsoft Windows 中最近修补的安全漏洞作为零日漏洞来传播各种恶意软件家族，包括后门和信息窃取程序，例如 Rhadamanthys 和 StealC。

趋势科技研究员 Aliakbar Zahravi在分析中表示： “在这次攻击中，威胁行为者操纵 .msc 文件和多语言用户界面路径 (MUIPath) 来下载并执行恶意负载、保持持久性并从受感染的系统中窃取敏感数据。”

该漏洞为 CVE-2025-26633（CVSS 评分：7.0），微软将其描述为 Microsoft 管理控制台 ( MMC ) 中的不当中和漏洞，可能允许攻击者在本地绕过安全功能。该公司已于本月初在周二补丁日更新中修复了该漏洞。

Trend Micro 将该漏洞命名为 MSC EvilTwin，跟踪名为 Water Gamayun 的疑似俄罗斯活动集群。该威胁行为者最近成为PRODAFT 和 Outpost24分析的对象，也被称为 LARVA-208。

CVE-2025-26633 的核心是利用 Microsoft 管理控制台框架 (MMC)，通过称为 MSC EvilTwin 加载器的 PowerShell 加载器执行恶意 Microsoft 控制台 (.msc) 文件。

具体来说，加载程序会创建两个同名的 .msc 文件：一个干净文件和一个恶意文件，后者被放在同一个位置，但位于名为“en-US”的目录中。其原理是，当运行前者时，MMC 会无意中选择恶意文件并执行它。这是通过利用 MMC 的多语言用户界面路径 (MUIPath) 功能来实现的。

Zahravi 解释说：“通过滥用 mmc.exe 使用 MUIPath 的方式，攻击者可以为 MUIPath en-US 配备一个恶意的 .msc 文件，这会导致 mmc.exe 加载这个恶意文件而不是原始文件，并在受害者不知情的情况下执行。”

据观察，EncryptHub 还采用了另外两种方法，使用 .msc 文件在受感染的系统上运行恶意负载 -

使用MMC 的ExecuteShellCommand方法在受害者的机器上下载并执行下一阶段的有效载荷，这种方法此前曾被荷兰网络安全公司 Outflank 于 2024 年 8 月记录下来
使用模拟受信任目录（例如“C:\Windows\System32”（请注意 Windows 后面的空格））绕过用户帐户控制 (UAC) 并投放名为“WmiMgmt.msc”的恶意 .msc 文件

趋势科技表示，攻击链可能始于受害者下载冒充合法中国软件（如钉钉或 QQTalk）的数字签名 Microsoft 安装程序 (MSI) 文件，然后利用该文件从远程服务器获取并执行加载程序。据说威胁行为者自 2024 年 4 月以来一直在试验这些技术。

Zahravi 表示：“此次攻击活动正在积极开展中；它采用了多种投递方式和自定义负载，旨在保持持久性并窃取敏感数据，然后将其泄露到攻击者的命令和控制 (C&C) 服务器中。”