Water Gamayun，一个持续性的威胁组织，近期通过利用Windows系统中一个新发现的MSC EvilTwin漏洞（CVE-2025-26633）加强了其攻击活动。

此恶意软件活动的特点是使用多阶段攻击，针对企业和政府组织，旨在窃取敏感信息、凭据，并维持对网络的长期访问。这些于2025年开始出现的攻击，融合了复杂战术，例如利用受信任的二进制文件和深度混淆——以绕过现代安全控制，同时向用户展示诸如虚假招聘文件等具有说服力的诱饵。

攻击始于用户的网页搜索，该搜索使其访问一个被入侵的网站。该网站会悄无声息地将受害者转移到一个仿冒域名，并传递一个伪装成PDF文件的恶意RAR文件（伪装为“hiringassistant.pdf.rar”）。

当用户打开此文件时，内嵌的载荷会通过投放一个精心制作的.msc文件来利用MSC EvilTwin漏洞。该文件由mmc.exe加载，通过滥用任务板管理单元命令来触发隐藏的PowerShell命令。

正如Zscaler安全分析师所指出的，该活动的独特之处在于结合了一系列密码保护的压缩档案、窗口隐藏代码以及分阶段的载荷执行，以此在用户和自动化检测工具面前隐藏其踪迹。

Zscaler研究团队将此活动归因于Water Gamayun，其依据是几个强有力的标志，包括罕见地滥用EvilTwin漏洞、自定义的PowerShell混淆技术以及使用诱饵文档来降低怀疑。

他们的分析显示，在建立初始立足点后，恶意软件链会利用可下载的可执行文件、档案解压和进程注入来扩大其影响范围。

多阶段载荷与隐藏执行

Water Gamayun方法的核心是一个分层的感染过程。当伪装的RAR文件被打开后，载荷会向磁盘写入一个.msc文件。 执行时，mmc.exe会使用恶意的管理单元数据来解析此文件，从而通过TaskPad运行经过编码的PowerShell。该PowerShell脚本——作为第一阶段——会下载诸如UnRAR.exe之类的合法工具，然后访问包含额外载荷的密码保护压缩档案。 这些脚本执行的命令类似： -EncodedCommand JABX… | iex

第二阶段的脚本会编译一个.NET模块，以将恶意软件窗口从视图中隐藏，运行一个诱饵PDF文件，并投放最终的加载器可执行文件ItunesC.exe。该加载器通过启动多个实例并隐藏发送至外部IP的网络信标，实现了长期的持久化驻留。

该活动凸显了高级混淆和多阶段执行如何能够规避检测，这使得防御者必须监控罕见的文件扩展名、编码PowerShell的使用、可疑的进程链以及与类似基础设施的网络活动，这一点至关重要。