Una sofisticada campaña de ingeniería social del Grupo de amenazas de CiCrypThub que combina tácticas de suplantación con la explotación técnica para comprometer las redes corporativas.
Los ciberdelincuentes vinculados a ruso se hacen pasar por el personal de TI y utilizando solicitudes de equipos de Microsoft para establecer un acceso remoto, implementando cargas útiles maliciosas a través de una vulnerabilidad de Windows previamente desconocida.
El ataque comienza con los actores de amenaza que afirman ser de departamentos de TI internos y enviando solicitudes de conexión del equipo de Microsoft a los empleados específicos.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de los comandos de PowerShell que parecen legítimos pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado omite las políticas de seguridad de Windows y descarga un script PowerShell llamado “Runner.ps1” de dominios controlados por el atacante como CJHSBAM (.) Com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el marco de la consola de administración de Microsoft denominado “MSC Eviltwin”.
Solicitudes de Microsoft Teams Soltando malware
La vulnerabilidad de MSC Eviltwin permite a los atacantes ejecutar archivos de console de Microsoft (.msc) malicioso (.msc) manipulando cómo el sistema carga estas herramientas administrativas.
El exploit funciona soltando dos archivos .msc con nombres idénticos, uno legítimo y otro malicioso, en diferentes directorios. Cuando se ejecuta el archivo legítimo, el sistema carga inadvertidamente la versión maliciosa desde una ubicación alternativa, específicamente el directorio muipath.
Ejecución de malware
“El archivo malicioso se coloca en un directorio diferente, específicamente en Muipath, típicamente en la carpeta EN-US. Cuando se ejecuta el archivo MSC legítimo, activa el proceso MMC (.) EXE.
Debido a la vulnerabilidad de MSC Eviltwin, MMC.EXE primero verifica un archivo con el mismo nombre en el directorio muipath ”, explicó los investigadores de Trustwave.
Después de una explotación exitosa, el malware establece la persistencia en máquinas infectadas y mantiene la comunicación continua con los servidores de comando y control.
El sistema recibe comandos cifrados de AES que se descifran localmente y se ejecutan utilizando PowerShell, otorgando a los atacantes capacidades integrales de control remoto.
Entre las cargas útiles implementadas se encuentra el roble, un robador de información basado en PowerShell diseñado para extraer archivos confidenciales, información del sistema de cosecha y robar datos de billetera de criptomonedas.
El malware también genera tráfico de navegador falso a sitios web populares, ayudando a disfrazar las comunicaciones maliciosas de comando y control como actividad de red normal.
CiCrryPTHUB, también rastreado como Larva-208 y Water Gamayun, ha estado activo desde mediados de 2014 y representa una operación cibercriminal rusa bien recurrente.
El grupo ha comprometido más de 618 organizaciones en todo el mundo a partir de febrero de 2025, dirigiendo sectores, incluidos desarrolladores de Web3 y plataformas de juego.
Los actores de amenaza han demostrado capacidades operativas sofisticadas, incluido el abuso de plataformas legítimas para la distribución de malware.
Los investigadores descubrieron que CiCryPTHUB ha estado utilizando Brave Support, la plataforma de ayuda para el Brave Web Browser, para alojar archivos con cremallera maliciosa que contienen sus cargas útiles.
Esta técnica es particularmente preocupante, ya que la carga de archivos para el soporte valiente generalmente requiere cuentas establecidas con permisos de carga.
Más allá de la ingeniería social inicial de los equipos de Microsoft, CiCryPThub ha desarrollado un arsenal en expansión de herramientas personalizadas.
Cadena de ataque
Estos incluyen SilentCrystal, un cargador compilado de Golang que refleja la funcionalidad de script PowerShell y una puerta trasera proxy de calcetines5 que funciona en los modos de cliente y servidor.
El grupo también ha creado plataformas de videoconferencia falsas, como Rivatalk, para atraer a las víctimas a descargar instaladores MSI maliciosos. Estas plataformas requieren códigos de acceso para descargar software, creando una capa adicional de legitimidad al tiempo que obstaculiza el análisis de seguridad.
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron muestras de ataque relacionadas en la naturaleza a partir de febrero de 2025. Microsoft ha lanzado parches de seguridad, pero la vulnerabilidad continúa siendo explotada activamente contra los sistemas no parpados.
La vulnerabilidad conlleva una puntuación CVSS de 7.0, lo que indica una alta gravedad, y se ha agregado al Catálogo de vulnerabilidades explotadas de CISA, subrayando su naturaleza crítica para las agencias federales y los entornos empresariales.
La campaña destaca la efectividad persistente de los ataques de ingeniería social combinados con la explotación técnica. “La ingeniería social sigue siendo una de las herramientas más efectivas en el arsenal de un cibercriminal, y el grupo de amenazas emergentes CiCrypThub se ha salido directamente en el carro”, señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa de múltiples capas, incluidos parches inmediatos de CVE-2025-26633, monitoreo mejorado de las actividades de la consola de gestión de Microsoft y la capacitación integral de conciencia del usuario centrada en tácticas de ingeniería social.
Las organizaciones también deben restringir las capacidades de acceso remoto e implementar procedimientos de verificación estrictos para las interacciones de soporte de TI.
La campaña CiNPTHUB demuestra cómo los actores de amenaza moderna continúan evolucionando sus tácticas, combinando plataformas de comunicación confiables como equipos de Microsoft con sploits técnicos sofisticados para lograr sus objetivos.
COI
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
