Российская группа EncryptHub

Мир киберугроз не стоит на месте: пока компании затыкают старые дыры, злоумышленники находят новые способы проникновения в корпоративные сети. На этот раз отличилась российская группа EncryptHub (она же LARVA-208 или Water Gamayun), которая активно эксплуатирует уязвимость CVE-2025-26633, получившую название MSC EvilTwin.

Речь идёт о проблеме в Microsoft Management Console (MMC), через которую атакующие могут запускать вредоносные Microsoft Console (MSC) файлы. Казалось бы, что может быть подозрительного в привычном системном инструменте? Но именно это и делает атаку такой успешной: пользователь открывает «обычный» файл, а в фоне уже начинает работать зловредный двойник, подгружая полезную нагрузку с внешнего сервера.

Как работает схема атаки

Сценарий довольно коварен: злоумышленники представляются сотрудниками IT-отдела и отправляют жертве приглашение в Microsoft Teams. Цель проста — наладить «удалённое подключение», а на деле выполнить PowerShell-команды, которые подгружают вторичные модули. В систему попадает два MSC-файла с одинаковым именем: один чистый, второй заражённый. Жертва запускает первый, но эксплуатируется именно второй — отсюда и название уязвимости EvilTwin.

После срабатывания эксплойта на машину загружается PowerShell-скрипт, который:

• собирает системную информацию,

• закрепляется в системе для постоянного присутствия,

• связывается с C2-сервером EncryptHub,

• загружает и выполняет новые модули, включая свежий Fickle Stealer.

Примечательно, что команды от операторов приходят в AES-зашифрованном виде, расшифровываются локально и сразу выполняются. Такой подход позволяет обходить многие механизмы мониторинга — что-то вроде «шифрованных заклинаний» для зловредов.

SilentCrystal и трюк с Brave Support

Одним из ключевых инструментов кампании стал SilentCrystal — Go-бейзед загрузчик, который используется для доставки ZIP-архива с двумя MSC-файлами. Но самое интересное — злоумышленники используют платформу Brave Support, связанную с браузером Brave, как площадку для хостинга вредоносных файлов. Обычным пользователям там загрузка вложений недоступна, значит, у EncryptHub есть либо украденные учётные данные, либо обход механизма защиты. Иными словами, «хакеры нашли свой VIP-вход, пока остальные стоят в очереди».

Инструментарий и новые векторы

EncryptHub не ограничиваются одним Fickle Stealer. Они применяют целый арсенал:

• Golang-бэкдор с режимами клиента и сервера для сбора метаданных и организации SOCKS5-туннелей,

• поддельные видеоплатформы вроде RivaTalk, которые маскируются под Zoom-аналог, предлагая загрузить «обновление» в формате MSI,

• технику DLL-sideloading с использованием легитимного Symantec ELAM-инсталлятора для запуска скрытых PowerShell-команд.

Особое внимание заслуживает их маскировка: заражённая система может показывать фейковое окно «System Configuration», а в фоновом режиме генерировать HTTP-запросы к популярным сайтам, создавая иллюзию обычной сетевой активности. Снаружи кажется, что пользователь серфит интернет, а на деле C2-сервер получает очередные инструкции.

В чём соль?

EncryptHub демонстрирует, как грамотно сочетаются социальная инженерия и техническая эксплуатация уязвимостей. Пользователи доверяют знакомым инструментам — Teams, MSC, даже видеоплатформам, — и именно это доверие играет против них. Группа не просто распространяет зловреды, а постоянно обновляет инструментарий, использует зашифрованные каналы связи и легитимные платформы для хостинга, что делает их атаки трудноотличимыми от обычной сетевой активности.

EncryptHub — пример хорошо организованной, мотивированной и адаптивной группы, которая играет в долгую. Их методы показывают, что одной только антивирусной защиты сегодня недостаточно: требуется многоуровневая оборона, мониторинг аномалий, своевременные патчи и обучение пользователей. В противном случае любой «двойник» в MSC-файле может обернуться настоящим «близнецом-злодеем», который тихо крадёт данные прямо у вас из-под носа.

Берегите себя и свои нервы.