El panorama cibernético continúa evolucionando a medida que los actores maliciosos desarrollan métodos de ataque cada vez más sofisticados, con el grupo de amenazas CiCrypThub que emerge como un adversario particularmente preocupante.
Este actor de amenaza emergente, también conocido como Larva-208 y Water Gamayun, ha estado en los titulares de sus campañas agresivas que se dirigen a desarrolladores de Web3 y abusan de plataformas legítimas para entregar cargas útiles maliciosas.
Informes recientes indican que 618 organizaciones en todo el mundo han sido víctimas de los compromisos de la red de CiCrypthub a partir de febrero de 2025.
La última campaña del grupo representa una fusión peligrosa de tácticas de ingeniería social y explotación técnica, específicamente dirigida a la consola de gestión de Microsoft a través de la vulnerabilidad CVE-2025-26633, denominado MSC Eviltwin.
Esta vulnerabilidad permite a los atacantes ejecutar archivos MSC maliciosos colocándolos en ubicaciones de directorio estratégico, secuestrando efectivamente los procesos de sistema legítimos.
El ataque comienza con los actores de amenaza que se hacen pasar por el personal de apoyo de TI, estableciendo conexiones de equipos de Microsoft con las víctimas y, posteriormente, desplegan cargas útiles maliciosas a sistemas comprometidos.
Analistas de confianza identificado Esta sofisticada campaña durante sus actividades continuas de investigación de amenazas, descubriendo una cadena de ataque de varias etapas que combina la ingeniería social con abuso de plataformas.
Cadena de ataque (fuente – Trustwave)
Los investigadores observaron a los atacantes que ejecutaron los comandos de PowerShell para recuperar las cargas útiles iniciales, seguido del despliegue de herramientas especializadas diseñadas para mantener el acceso persistente y exfiltrar información confidencial.
Lo que hace que esta campaña sea particularmente notable es el abuso innovador del grupo de la plataforma de soporte valiente, un servicio legítimo asociado con el valiente navegador, para alojar y distribuir contenido malicioso.
La metodología de ataque demuestra el compromiso de CiCrryPTHUB de combinar servicios legítimos con intención maliciosa, lo que hace que la detección sea significativamente más desafiante para las soluciones de seguridad tradicionales.
Al aprovechar plataformas de confianza como el soporte valiente, el grupo puede evitar muchos filtros de seguridad que normalmente marcarían fuentes de descarga sospechosas.
Este enfoque destaca una tendencia creciente entre los ciberdelincuentes que explotan cada vez más la confianza asociada con las plataformas legítimas para facilitar sus actividades maliciosas.
Análisis de la explotación MSC Eviltwin
El núcleo del ataque de CiCryPTHUB se basa en explotar la vulnerabilidad CVE-2025-26633 a través de una sofisticada técnica de colocación de archivos.
Cuando las víctimas ejecutan el comando PowerShell inicial, el malware descarga y ejecuta Runner.ps1, que sirve como el mecanismo de implementación principal para el marco de explotación de MSC.
El script Runner.ps1 implementa una inteligente técnica de manipulación de directorio mediante la creación de dos archivos MSC con nombres idénticos pero colocándolos en diferentes ubicaciones.
El archivo legítimo reside en el directorio del sistema estándar, mientras que la versión maliciosa se posiciona estratégicamente en el directorio muipath, específicamente dentro de la carpeta EN-US.
Esta colocación explota el comportamiento de carga de archivos MSC Eviltwin Vulnerabilidad, donde MMC.EXE prioriza los archivos encontrados en el directorio Muipath sobre aquellos en ubicaciones estándar.
Durante la ejecución, el script modifica dinámicamente el archivo MSC malicioso al reemplazar el marcador de posición “htmlloaderurl” con URL de comando y control de CiCryPTHUB.
Esta modificación permite que el archivo MSC recupere y ejecute cargas útiles posteriores directamente desde la infraestructura del atacante.
El proceso transforma efectivamente una utilidad del sistema legítimo en un conducto para la ejecución de código malicioso, lo que demuestra la comprensión sofisticada del grupo de Windows System Internal y su capacidad para armarse herramientas administrativas estándar para fines maliciosos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
