No mundo da cibersegurança, novas vulnerabilidades são descobertas todos os dias, mas algumas ganham destaque por sua sofisticação e pelo impacto potencial. É o caso da CVE-2025-26633, uma falha no Microsoft Management Console (MMC), que está sendo ativamente explorada por um grupo russo conhecido como Water Gamayun (também chamado de EncryptHub ou LARVA-208).

Essa exploração resultou na disseminação de dois backdoors: SilentPrism e DarkWisp.

Quem é o Water Gamayun?

O Water Gamayun ganhou notoriedade em meados de 2024. Inicialmente, utilizavam um repositório no GitHub (chamado encrypthub) para distribuir ladrões de dados, mineradores e até ransomware, muitas vezes disfarçados de instaladores legítimos, como uma versão falsa do WinRAR.

Com o tempo, a operação se tornou mais sofisticada. Eles abandonaram plataformas públicas e passaram a operar com uma infraestrutura própria de comando e controle (C2), distribuindo malwares por meio de instaladores MSI assinados digitalmente, pacotes de provisionamento e arquivos .msc maliciosos.

O que é a CVE-2025-26633 (MSC EvilTwin)?

Essa vulnerabilidade afeta o MMC — componente do Windows responsável por abrir ferramentas administrativas através de arquivos .msc. A falha permite que um invasor substitua ou sobreponha arquivos legítimos do MMC por versões maliciosas.

A exploração acontece de três formas principais:

1. Carregamento de arquivos .msc maliciosos via MUIPath
   O MMC procura versões localizadas dos arquivos .msc usando um caminho chamado MUIPath. Um arquivo .msc com o mesmo nome pode ser carregado de forma privilegiada a partir de diretórios como en-US, permitindo execução remota de código.

2. Simulação de diretórios confiáveis
   Os atacantes criam diretórios que imitam caminhos do sistema, como C:\Windows \System32 (com espaço extra), induzindo o sistema a carregar arquivos dali, mesmo sendo maliciosos.

3. Execução de comandos via ActiveX no MMC
   O MMC pode executar comandos através de componentes ActiveX incorporados em páginas HTML. Isso é explorado com arquivos .msc que carregam HTML malicioso, usando ExecuteShellCommand() para rodar código arbitrário.

A vulnerabilidade foi oficialmente corrigida pela Microsoft em março de 2025, após ser classificada como bypass de segurança local. Ela está documentada como CVE-2025-26633 e permite que invasores abusem do carregamento de arquivos via MUIPath, simulando caminhos legítimos e contornando proteções nativas do sistema operacional. (NVD - CVE-2025-26633)

Arquitetura do Ataque

Agora, mergulharemos profundamente na arquitetura completa do ataque, destrinchando o ecossistema de entrega, execução, persistência, comunicação C2, técnicas anti-análise, exfiltração de dados e limpeza forense. Também analisamos os artefatos maliciosos, os backdoors SilentPrism e DarkWisp, e as variantes do EncryptHub Stealer.

Visão Geral da Arquitetura do Ataque

A operação Water Gamayun é construída sobre sete pilares fundamentais:

1. Vetor de inicialização (entrega via MSI)

2. Execução de código com PowerShell

3. Abuso de LOLBins (ex: runnerw.exe)

4. Exploração do MSC EvilTwin (CVE-2025-26633)

5. Carga útil modular: SilentPrism, DarkWisp, Rhadamanthys

6. Exfiltração de dados estruturada

7. Persistência e evasão forense

Vetor de Inicialização: Instaladores MSI Maliciosos

Os atacantes usam instaladores .msi aparentemente legítimos de softwares como DingTalk, QQTalk e VooV Meeting, com assinaturas digitais válidas.

Construção do Instalador:

• Criado com Advanced Installer

• Scripts maliciosos embutidos na tabela CustomAction (AI_DATA_SETTER)

• A execução é iniciada via:

Veja a imagem com o conteúdo do CustomAction:

Execução de Código: PowerShell e Proxy de Scripts

Após o .msi ser executado, o PowerShell é invocado com ExecutionPolicy Bypass, em modo oculto:

LOLBins: Uso de runnerw.exe (IntelliJ)

Para evitar alertas de antivírus, o malware usa binários confiáveis do próprio sistema (LOLBins). Exemplo: runnerw.exe do IntelliJ para executar scripts PowerShell.

• Utilizado como proxy de execução

• Evita gatilhos heurísticos

• Executa o payload de forma camuflada

Exploração da CVE-2025-26633 (MSC EvilTwin)

A chave da operação está no abuso do MUIPath do MMC.

Técnica:

• Criação de dois arquivos .msc com o mesmo nome (legítimo e malicioso)

• Um é colocado em C:\Windows \System32, e outro em C:\Windows\System32\en-US

• O sistema carrega o malicioso primeiro, usando o htmlLoaderUrl para baixar comandos PowerShell

Cargas Maliciosas

SilentPrism (worker.ps1)

• Backdoor em PowerShell

• Persistência via tarefas agendadas ou mshta.exe com VBS

• Comunicação com C2 via POST codificado

• Loop contínuo com beaconing

DarkWisp (encrypt.ps1)

• Coleta de ambiente, software, VPNs, firewalls

• Canais C2 redundantes:

  • TCP 8080 → Recepção e execução de comandos

  • HTTPS 8081 → Exfiltração de resultados

• Comandos em formato COMMAND|<Base64>

Ambos os implantes, SilentPrism e DarkWisp, são escritos em PowerShell e incorporam mecanismos avançados de evasão, incluindo uso de comunicação redundante via HTTP/S e TCP, criptografia de dados, e execução assíncrona com o módulo Start-Job. Isso permite controle total do sistema infectado, exfiltração contínua de dados e persistência mesmo após reinicializações.

MSC EvilTwin Loader (runner.ps1)

• Cria pastas que imitam caminhos legítimos (C:\Windows \System32)

• Substitui dinamicamente o {htmlLoaderUrl} no .msc

• Executa via Start-Process

• Faz limpeza do sistema com Remove-Item

Exfiltração de Dados

Dados coletados incluem:

• Informações de sistema e BIOS

• IP público, localização, UAC, presença de VMs

• Histórico de clipboard

• Senhas de Wi-Fi

• Credenciais de navegadores

• Dados de carteiras de criptomoedas

Transmissão via TCP (porta 8080), base64-encoded
Redundância via HTTPS GET (porta 8081)

Persistência e Evasão

Técnicas utilizadas:

• Obfuscação com Base64

• Criptografia AES

• Detecção de VM

• Intervalos randômicos (300–700ms) entre beacons

• Start-Job para execução assíncrona de comandos

• Invoke-Expression (IEX) para injetar payloads dinamicamente

• Remoção de arquivos para evitar forense

Infraestrutura C2

• Operações no IP: 82.115.223[.]182

• Porta TCP: 8080 (comandos)

• Porta HTTPS: 8081 (exfiltração)

• Usa Python (handler.py) + Flask

• Interface para listar vítimas, enviar comandos e receber dados

Stealers – Variantes do EncryptHub

• Baseado no Kematian Stealer

• Variantes A, B e C

• Escritos em PowerShell com diferenças sutis

• Raspam dados sensíveis e arquivos com palavras-chave como mnemonic, metamask, backup, kucoin, ledger, 2fa, keys, wallet, passphrase

Conclusão

O Water Gamayun construiu uma infraestrutura modular, resiliente e invisível, capaz de:

• Iniciar a infecção com MSI assinados

• Executar scripts disfarçados via PowerShell e LOLBins

• Persistir no sistema usando agendamentos e obfuscação

• Comunicar-se com C2 em tempo real via canais redundantes

• Exfiltrar dados sensíveis de forma criptografada

• Apagar rastros para dificultar análise forense

A sofisticação técnica da campanha deixa claro que não estamos lidando com uma operação amadora. O conhecimento do sistema operacional, o uso inteligente de ferramentas nativas, e a adaptação constante da infraestrutura mostram que o Water Gamayun é uma ameaça real e ativa.

Referências utilizadas neste artigo:

TREND MICRO.
CVE-2025-26633: Water Gamayun Exploits Microsoft Management Console in Active Attacks. Trend Micro Research, março de 2025.

NIST - National Institute of Standards and Technology.
CVE-2025-26633 Detail. National Vulnerability Database, 2025.

THE HACKER NEWS.
New Windows MMC Vulnerability Exploited by Russian Hackers in the Wild. The Hacker News, março de 2025.