Une nouvelle campagne malveillante attribuée au groupe russe de cybercriminels EncryptHub cible les utilisateurs Windows en exploitant une faille critique récemment corrigée, identifiée sous le nom de CVE-2025-26633. Baptisée MSC EvilTwin, cette vulnérabilité permet l’exécution furtive de malwares grâce à des fichiers Microsoft Console vérolés. En combinant ingénierie sociale, exploitation de vulnérabilités système et détournement de plateformes légitimes, les attaquants déploient une cyberattaque sophistiquée visant à voler des informations et prendre le contrôle de l’environnement de leurs victimes.
Une faille Windows exploitée dans une campagne EncryptHub
La faille CVE-2025-26633 utilisée pour injecter un malware furtif
Les chercheurs en sécurité de Trustwave SpiderLabs ont observé une campagne ciblée orchestrée par EncryptHub, également connu sous les noms LARVA-208 et Water Gamayun. Le groupe s’appuie sur la faille CVE-2025-26633 affectant Windows pour infecter ses cibles via des fichiers MSC piégés. Deux fichiers portant le même nom sont utilisés : l’un est légitime, l’autre déclenche la faille, provoquant l’exécution clandestine d’un code malveillant.
L’attaque commence généralement par une demande sur Microsoft Teams, se faisant passer pour un membre du support IT. L’attaquant établit ensuite une connexion distante afin d’exécuter des scripts PowerShell et de déployer d’autres charges utiles.
Falsification de fichiers MSC et communication avec un serveur de commande
Une fois que le fichier MSC compromettant est exécuté, il télécharge un script PowerShell secondaire à partir d’un serveur externe. Ce script récolte des informations système, établit une persistance sur l’ordinateur infecté et communique avec un serveur de commande et contrôle (C2) pour lancer divers malwares, notamment le voleur d’informations Fickle Stealer.
Ce malware reçoit des commandes chiffrées via AES transmises par les cybercriminels, puis les exécute localement. L’ensemble du processus est conçu pour rester discret et contourner les défenses traditionnelles des systèmes Windows.
Un écosystème malveillant en constante évolution
Utilisation de la plateforme Brave Support pour héberger des charges malveillantes
EncryptHub utilise également un loader développé en Go appelé SilentCrystal. Celui-ci tire parti de Brave Support, la plateforme d’assistance officielle du navigateur Brave, pour héberger des archives ZIP contenant les fichiers MSC vérolés. Cette utilisation d’une plateforme de confiance rend la détection des malwares nettement plus difficile.
L’accès à Brave Support étant limité pour les nouveaux comptes, les attaquants semblent avoir compromis un compte présentant des privilèges suffisants pour y téléverser leurs fichiers malveillants.
Backdoors, faux outils IT et techniques de diversion
Plusieurs outils sont déployés dans cette série d’attaques : un cheval de Troie en Go capable d’agir en mode client et serveur, utilisant le protocole SOCKS5 pour établir une infrastructure C2 efficace. EncryptHub met également en œuvre de fausses applications liées à la visioconférence, telle que RivaTalk, afin de tromper les victimes.
Le téléchargement d’un faux installateur MSI active un enchaînement sophistiqué : une DLL malveillante est chargée via un composant Symantec authentique, qui à son tour lance un script PowerShell. Ce dernier effectue l’exfiltration de données et attend de nouvelles instructions chiffrées pour assurer la prise de contrôle du système. Pour distraire l’utilisateur, une fenêtre factice de “Configuration système” est affichée, tandis qu’un trafic HTTP simulé est généré vers des sites connus pour masquer les échanges avec le serveur C2.
Une menace persistante aux méthodes perfectionnées
Une stratégie mêlant social engineering et exploitation technique
EncryptHub démontre une capacité avancée à combiner manipulation psychologique, détournement de logiciels légitimes et exploitation de failles système. Cette combinaison leur permet de maintenir un accès permanent aux environnements compromis et de récolter des données sensibles sans se faire repérer.
Cet usage méthodique de techniques de type living-off-the-land, associé à la création d’outils sur mesure, rappelle les fondamentaux que l’on retrouve dans notre livre pour hacker. Ce guide est conçu pour ceux voulant apprendre à hacker dans une optique défensive, comprendre les tactiques offensives et renforcer leur posture de cybersécurité.
L’évolution continue des outils et leur sophistication
Avec l’arrivée de malwares polymorphes, de scripts dynamiques et de backdoors multi-fonctionnelles, EncryptHub illustre la rapide mutation des menaces cyber actuelles. La capacité à exploiter d’anciens bugs rapidement après leur publication souligne l’intérêt d’une supervision active des vulnérabilités et d’une réponse incident bien préparée.
La supervision continue, le durcissement des accès aux applications collaboratives comme Microsoft Teams, et la formation des employés face aux risques d’hameçonnage, sont des composantes fondamentales aujourd’hui pour réduire les surfaces d’attaque.
Cette attaque démontre à quel point il est vital d’intégrer des solutions de cybersécurité comme celles proposées par CyberCare pour anticiper, détecter et répondre efficacement aux incidents numériques les plus avancés.
