Russian Group EncryptHub Exploits MSC EvilTwin Vulnerability to Deploy Fickle Stealer Malware

Une campagne de cybercriminalité utilise une vulnérabilité dans la console MMC pour distribuer un logiciel malveillant.

Points clés:

• Le groupe russe EncryptHub utilise des techniques de génie social et l’exploitation d’une faille de sécurité (CVE-2025-26633, également connue sous le nom d’EvilTwin) pour distribuer des logiciels malveillants.
• Ils ciblent des individus via des communications qui semblent légitimes, comme des demandes sur Microsoft Teams ou des plateformes de communication bidon.
• La vulnérabilité EvilTwin permet à un fichier MSC malveillant de s’exécuter lorsque son homologue légitime est lancé.
• Les attaquants exploitent également des plateformes légitimes comme le support Brave pour héberger des charges utiles malveillantes, ce qui suggère un accès non autorisé à des comptes.
• Les charges utiles incluent des voleurs d’informations (stealer), des backdoors et des chargeurs écrits en Go.
• Les communications avec les serveurs de commande et de contrôle (C2) sont chiffrées, et les attaquants utilisent des techniques pour masquer leur activité, comme la génération de trafic de navigateur factice.

Vulnérabilités:

• CVE-2025-26633 (connue sous le nom de MSC EvilTwin) - une faille dans le framework de la console MMC de Microsoft Windows.

Recommandations:

• Mettre en place des stratégies de défense en profondeur.
• Maintenir une veille sur les menaces active.
• Sensibiliser les utilisateurs aux techniques de génie social.
• Appliquer les correctifs de sécurité dès qu’ils sont disponibles.

Source