Grupo APT Water Gamayun está explorando a vulnerabilidade MSC EvilTwin (CVE-2025-26633) em ataques multiestágio que visam manter acesso persistente em redes de organizações empresariais e governamentais.
Descoberta e escopo
Analistas de segurança identificaram uma campanha em 2025 atribuída ao Water Gamayun que abusa da chamada MSC EvilTwin (CVE-2025-26633) em sistemas Windows. As ações observadas combinam engenharia social, entrega por sites comprometidos e uma cadeia de execução em múltiplas fases para esconder artefatos e persistir em ambientes alvo. As vítimas descritas pelas análises são organizações empresariais e governamentais; as fontes não trazem um número público de afetados.
Panorama da técnica de entrega
O vetor inicial relatado começa com uma pesquisa web que direciona a vítima a um site comprometido, que por sua vez redireciona silenciosamente para um domínio lookalike. Neste domínio é entregue um arquivo RAR mascarado como PDF — exemplificado como "hiringassistant.pdf.rar" — que contém um payload projetado para explorar a vulnerabilidade MSC EvilTwin.
Abordagem técnica e vetor de exploração
Ao abrir o arquivo enganoso, o código entrega um arquivo .msc especialmente montado. Esse .msc é carregado pelo executável legítimo mmc.exe (Microsoft Management Console) e passa a executar comandos PowerShell ocultos via abuso de TaskPad snap-in commands. A cadeia observada inclui o uso de arquivos compactados com senha, ferramentas legítimas baixadas para apoiar a extração (por exemplo, UnRAR.exe) e etapas codificadas de PowerShell para orquestração dos estágios seguintes.
Trechos dos comandos observados mostram execução de payloads PowerShell codificados, por exemplo:
-EncodedCommand JABX… | iexUm segundo estágio compile-and-run cria um módulo .NET que oculta janelas de malware, aciona um documento decoy (um PDF legítimo exibido à vítima) e deposita o carregador final identificado como ItunesC.exe. Esse loader lança múltiplas instâncias e gerencia beacons de rede para infraestrutura externa, além de permitir manutenção de acesso e movimentos laterais quando bem-sucedido.
Impacto e alcance
A campanha é descrita como dirigida a alvos de alto valor (setor público e empresas), com objetivo de roubo de credenciais, exfiltração de dados sensíveis e persistência de longo prazo. O uso de binários confiáveis (mmc.exe) e de técnicas de ocultação (arquivos protegidos por senha, janelas escondidas, múltiplos estágios) eleva a dificuldade para detecção automatizada e investigação forense. As fontes não fornecem métricas públicas sobre número de organizações comprometidas nem CVSS agregado para o CVE.
Indicadores e observáveis recomendados
- Arquivos .msc recém-criados em diretórios não usuais e carregamentos por mmc.exe fora do comportamento esperado;
- Execuções de PowerShell codificado (EncodedCommand) ativadas a partir de processos relacionados a MMC/TaskPad;
- Tráfego de rede para endereços externos logo após execuções de ItunesC.exe ou outros executáveis baixados;
- Uso de ferramentas legítimas baixadas em sequência (ex.: UnRAR.exe) combinadas com arquivos compactados protegidos por senha;
- Aparição de executáveis com nomes semelhantes a componentes legítimos (ex.: ItunesC.exe) e carregadores que iniciam múltiplas instâncias.
Limites das informações
Os relatórios disponíveis descrevem a cadeia de ataque e artefatos técnicos, mas não divulgam contagens de vítimas, indicadores de comprometimento (IPs/domínios completos) publicamente reprodutíveis nem detalhes sobre vetores de escalonamento pós-intrusão além dos componentes citados. As fontes deixam explícito o perfil de alvo (empresas e órgãos governamentais), mas não há lista de vítimas nomeadas.
Mitigações práticas
Com base nas técnicas descritas, equipes de defesa devem priorizar detecção e bloqueio de execuções anômalas de mmc.exe que carreguem .msc não assinados ou não esperados, bem como monitorar e analisar ocorrências de PowerShell codificado e extrações de arquivos protegidos por senha. Outras medidas incluem reforço de controles de navegação (bloqueio de domínios comprometidos), inspeção de downloads e políticas que reduzam o uso de contas com permissões elevadas para abrir arquivos provenientes da web.
O que acompanhar
As fontes que relataram a campanha identificaram o uso raro e específico da vulnerabilidade EvilTwin como um dos indicadores de atribuição ao Water Gamayun; recomenda-se acompanhar atualizações dessas mesmas equipes de pesquisa para indicadores de infraestrutura (IPs, domínios, hashes) e para correções ou regras de detecção distribuídas por fornecedores de segurança. Caso ocorram divulgações adicionais com IOCs, elas devem ser incorporadas aos procedimentos de resposta e hunting.
As análises citadas deixam claro que a complexidade do ataque (multistágio, uso de binários legítimos e camadas de obfuscação) torna essencial uma abordagem combinada: detecção de endpoint, análise de cadeia de processos e monitoramento de rede. Por ora, as fontes não detalham atribuição final a um ator estatal ou motivação além da exfiltração e persistência.