Water Gamayun, um grupo de ameaças persistentes, intensificou recentemente seus esforços explorando uma vulnerabilidade recentemente identificada do MSC EvilTwin (CVE-2025-26633) em sistemas Windows.
Esta campanha de malware é marcada pelo uso de ataques em vários estágios direcionados a organizações empresariais e governamentais, com o objetivo de roubar informações confidenciais e credenciais e manter o acesso de longo prazo às redes.
Emergindo em 2025, esses ataques combinam táticas sofisticadas – como o aproveitamento de binários confiáveis e ofuscação profunda – para contornar os controles de segurança modernos e, ao mesmo tempo, apresentar aos usuários iscas convincentes, como documentos de trabalho falsos.
O ataque começa com uma pesquisa na web de um usuário que leva a um site comprometido. O site move silenciosamente a vítima para um domínio semelhante, entregando um arquivo RAR malicioso disfarçado de PDF (mascarado como “hiringassistant.pdf.rar”).
Carga útil do MSC disfarçada de PDF (fonte – Zscaler)
Quando o usuário abre este arquivo, a carga incorporada explora a vulnerabilidade do MSC EvilTwin descartando um arquivo .msc criado. Este arquivo é carregado por mmc.exe, que aciona comandos ocultos do PowerShell por meio do abuso de comandos de snap-in do TaskPad.
Conforme identificaram os analistas de segurança da Zscaler, a abordagem exclusiva da campanha combina uma sequência de arquivos protegidos por senha, código de ocultação de janelas e execução de carga útil em etapas para ocultar seus rastros dos usuários e das ferramentas de detecção automatizadas.
A equipe de pesquisa da Zscaler atribuiu esta campanha a Water Gamayun devido a vários marcadores fortes, incluindo o raro abuso da vulnerabilidade EvilTwin, ofuscação personalizada do PowerShell e o uso de documentos chamariz para diminuir suspeitas.
A análise revelou que, depois de estabelecer uma posição inicial, a cadeia de malware aproveita executáveis para download, extração de arquivos e injeção de processos para expandir seu alcance.
Carga útil em vários estágios e execução oculta
No centro da metodologia de Water Gamayun está um processo de infecção em camadas. Depois que o arquivo RAR disfarçado é aberto, a carga grava um arquivo .msc no disco.
Quando executado, mmc.exe interpreta esse arquivo usando dados de snap-in maliciosos para executar o PowerShell codificado por meio do TaskPad. O script do PowerShell – o primeiro estágio – baixa ferramentas legítimas como UnRAR.exe e, em seguida, acessa arquivos protegidos por senha contendo cargas adicionais.
Esses scripts executam comandos como: –
-EncodedCommand JABX… | nada
Um script de segundo estágio compila um módulo .NET para ocultar janelas de malware, executa um PDF isca e descarta o executável do carregador final, ItunesC.exe. Este carregador permite persistência de longo prazo, iniciando múltiplas instâncias e ocultando beacons de rede para IPs externos.
A campanha destaca como a ofuscação avançada e a execução multifásica podem evitar a detecção, tornando essencial que os defensores monitorem extensões de arquivos raras, uso de PowerShell codificado, cadeias de processos suspeitos e atividades de rede em infraestruturas semelhantes.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
