水加麦永武器化"MSC EvilTwin"零日漏洞进行隐秘后门攻击

Zscaler威胁狩猎团队揭露了一场复杂的新型网络间谍活动，展示了与俄罗斯结盟的、被称为水加麦永的高级持续性威胁组织如何武器化Windows中的一个零日漏洞，以渗透高价值网络。

攻击始于看似无害的操作——一个简单的商业解决方案网络搜索——但迅速升级为"对Windows MMC漏洞的复杂利用，最终投递隐藏的PowerShell有效载荷和最终的恶意软件加载器"。

此次活动的核心是利用被称为"MSC EvilTwin"的CVE-2025-26633漏洞。该漏洞针对微软管理控制台，这是一个核心的Windows管理工具。

水加麦永的技术涉及将恶意代码直接注入mmc.exe。正如报告详述，初始有效载荷"利用MSC EvilTwin将代码注入mmc.exe，并利用任务板管理单元命令来启动一系列隐藏的PowerShell阶段"。通过使用像MMC这样的受信任系统二进制文件来执行其代码，攻击者可以绕过许多信任合法Windows进程的标准安全检测。

Zscaler研究人员发现的感染链揭示了一种高度算计的、旨在滥用用户信任的社会工程策略。

诱饵： 搜索"BELAY"的受害者会从一个被攻陷的合法站点静默重定向到一个相似的域名，belaysolutions[.]link。 欺骗： 恶意域名托管一个名为Hiring_assistant.pdf.rar的文件。这个"伪装成PDF的双扩展名RAR有效载荷"欺骗用户，让他们相信自己正在下载一个无害的宣传册。 执行： 当用户打开压缩包时，会触发MSC EvilTwin漏洞利用。这会启动一个隐藏的PowerShell脚本，下载解压工具和包含下一阶段恶意软件的受密码保护的压缩包。 持久化： 最后阶段安装一个名为ItunesC.exe的加载器。由于命令与控制服务器无响应，具体的恶意软件家族无法确认，但已知水加麦永会部署诸如SilentPrism和DarkWisp等后门，或Rhadamanthys等窃密软件。

Zscaler以"高度信心"将此活动归因于水加麦永，这是一个专门从事供应链攻击和零日漏洞利用的组织。

该组织的主要动机似乎是"针对具有高商业或地缘政治价值的组织进行战略情报收集"和"窃取凭证以促进进一步入侵"。这次活动突显了他们高度的操作安全标准，利用复杂的混淆链和分层技术来"规避现代安全堆栈"。