Un acteur malveillant connu sous le nom d’EncryptHub a été lié à des attaques zero-day de Windows exploitant une vulnérabilité de la Console de gestion Microsoft corrigée ce mois-ci.
Découvert par Aliakbar Zahravi, chercheur chez Trend Micro, ce contournement de la fonctionnalité de sécurité (surnommé « MSC EvilTwin » et désormais suivi sous le nom de CVE-2025-26633) réside dans la manière dont les fichiers MSC sont traités sur des appareils vulnérables.
Les attaquants peuvent exploiter cette vulnérabilité pour échapper aux protections de la réputation des fichiers Windows et exécuter du code, car l’utilisateur n’est pas averti avant de charger des fichiers MSC inattendus sur des périphériques non corrigés.
« Dans un scénario d’attaque par courrier électronique, un attaquant pourrait exploiter la vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en convainquant l’utilisateur d’ouvrir le fichier », explique Microsoft dans un avis publié lors du Patch Tuesday de ce mois-ci. « Dans un scénario d’attaque Web, un attaquant pourrait héberger un site Web (ou exploiter un site Web compromis qui accepte ou héberge du contenu fourni par l’utilisateur) contenant un fichier spécialement conçu pour exploiter la vulnérabilité. »
Lors d’attaques repérées par les chercheurs de Trend Micro avant de signaler la faille à Microsoft, EncryptHub (également connu sous le nom de Water Gamayun ou Larva-208) a utilisé des exploits zero-day CVE-2025-26633 pour exécuter du code malveillant et exfiltrer les données des systèmes compromis.
Tout au long de cette campagne, l’auteur de la menace a déployé plusieurs charges utiles malveillantes liées aux précédentes attaques EncryptHub, notamment le voleur EncryptHub, la porte dérobée DarkWisp, la porte dérobée SilentPrism, Stealc, le voleur Rhadamanthys et le chargeur de chevaux de Troie MSC EvilTwin basé sur PowerShell.
« Dans cette attaque, l’acteur de la menace manipule .les fichiers msc et le chemin d’interface utilisateur multilingue (MUIPath)pour télécharger et exécuter une charge utile malveillante, maintenir la persistance et voler des données sensibles sur les systèmes infectés », a déclaré Zahravi dans un rapport publié mardi.
« Cette campagne est en cours de développement actif; elle utilise plusieurs méthodes de livraison et des charges utiles personnalisées conçues pour maintenir la persistance et voler des données sensibles, puis les exfiltrer vers les serveurs de commande et de contrôle (C&C) des attaquants. »
En analysant ces attaques, Trend Micro a également découvert une première version de cette technique utilisée lors d’un incident survenu en avril 2024.
La société de renseignement sur les cybermenaces Prodaft a déjà lié EncryptHub aux violations d’au moins 618 organisations dans le monde entier à la suite d’attaques de spear-phishing et d’ingénierie sociale.
EncryptHub déploie également des charges utiles de ransomware pour crypter les fichiers des victimes après avoir volé des fichiers sensibles en tant qu’affilié des opérations RansomHub et BlackSuit ransomware.
Ce mois-ci, Microsoft a également corrigé une vulnérabilité zero-day (CVE-2025-24983) dans le sous-système du noyau Windows Win32, qui avait été exploitée dans des attaques depuis mars 2023.