Een bedreigingsactor die bekend staat als EncryptHub is in verband gebracht met Windows zero-day aanvallen die misbruik maken van een kwetsbaarheid in de Microsoft Management Console, welke deze maand is opgelost.

Ontdekt door Trend Micro personeelsonderzoeker Aliakbar Zahravi, bevindt deze beveiligingsmaatregel omzeiling (genaamd ‘MSC EvilTwin’ en nu gevolgd als CVE-2025-26633) zich in de manier waarop MSC-bestanden worden behandeld op kwetsbare apparaten.

Aanvallers kunnen de kwetsbaarheid benutten om de Windows-bestandsherkenningsbescherming te omzeilen en code uit te voeren, omdat de gebruiker niet wordt gewaarschuwd voordat onverwachte MSC-bestanden op niet-gepatchte apparaten worden geladen.

“In een e-mailscenario kan een aanvaller de kwetsbaarheid uitbuiten door het speciaal vervaardigde bestand naar de gebruiker te sturen en de gebruiker ervan te overtuigen het bestand te openen,” legt Microsoft uit in een advies dat is uitgegeven tijdens Patch Tuesday van deze maand. “In een web-gebaseerd aanvalsscenario kan een aanvaller een website hosten (of gebruikmaken van een gecompromitteerde website die gebruikersinhoud accepteert of host) met een speciaal vervaardigd bestand dat is ontworpen om de kwetsbaarheid uit te buiten.”

In aanvallen die door onderzoekers van Trend Micro zijn opgemerkt voordat het defect aan Microsoft werd gerapporteerd, gebruikte EncryptHub (ook bekend als Water Gamayun of Larva-208) CVE-2025-26633 zero-day exploits om kwaadaardige code uit te voeren en gegevens te exfiltreren van gecompromitteerde systemen.

Gedurende deze campagne heeft de bedreigingsactor meerdere kwaadaardige payloads ingezet die verband houden met eerdere EncryptHub-aanvallen, waaronder de EncryptHub stealer, DarkWisp backdoor, SilentPrism backdoor, Stealc, Rhadamanthys stealer en de op PowerShell gebaseerde MSC EvilTwin trojan loader.

“In deze aanval manipuleert de bedreigingsactor .msc-bestanden en het Meertalige Gebruikersinterfacepad (MUIPath) om kwaadaardige payloads te downloaden en uit te voeren, persistentie te behouden en gevoelige gegevens te stelen van geïnfecteerde systemen,” zei Zahravi in een rapport dat op dinsdag is gepubliceerd.

“Deze campagne is in actieve ontwikkeling; het maakt gebruik van meerdere leveringsmethoden en aangepaste payloads die zijn ontworpen om persistentie te behouden en gevoelige gegevens te stelen, die vervolgens worden geëxfiltreerd naar de command-and-control (C&C) servers van de aanvallers.”

Tijdens het analyseren van deze aanvallen heeft Trend Micro ook een vroege versie van deze techniek gevonden die in een incident van april 2024 is gebruikt.

Cyberbedreigingsinformatiebedrijf Prodaft heeft eerder EncryptHub in verband gebracht met inbreuken op ten minste 618 organisaties wereldwijd na speer-phishing en social engineering aanvallen.

EncryptHub implementeert ook ransomware-payloads om de bestanden van slachtoffers te versleutelen nadat gevoelige bestanden zijn gestolen, als een affiliate van de RansomHub en BlackSuit ransomware operaties.

Deze maand heeft Microsoft ook een zero-day kwetsbaarheid gepatcht (CVE-2025-24983) in het Windows Win32 Kernel-subsysteem, die sinds maart 2023 in aanvallen was gebruikt.