Water Gamayun APT Hackers Exploit MSC EvilTwin Vulnerability to Inject Malicious Code

Water Gamayun，一个持续活跃的威胁组织，近期通过利用Windows系统中一个新发现的MSC EvilTwin漏洞（CVE-2025-26633）加强了其攻击活动。

此次恶意软件活动的特点是使用多阶段攻击，针对企业和政府组织，旨在窃取敏感信息、凭证，并维持对网络的长期访问权限。

这些于2025年出现的攻击结合了复杂战术——例如利用受信任的二进制文件和深度混淆技术——以绕过现代安全控制，同时向用户展示具有说服力的诱饵，如虚假的工作文档。

攻击始于用户的网页搜索，使其访问一个被入侵的网站。该网站悄无声息地将受害者重定向到一个相似的域名，并传递一个伪装成PDF的恶意RAR文件（伪装为“hiringassistant.pdf.rar”）。

MSC Payload Disguised as PDF (Source – Zscaler)

当用户打开此文件时，内嵌的有效载荷通过投放一个精心制作的.msc文件来利用MSC EvilTwin漏洞。该文件由mmc.exe加载，通过滥用TaskPad管理单元命令触发隐藏的PowerShell命令。

正如Zscaler安全分析师所指出的，该活动的独特方法结合了一系列受密码保护的压缩包、隐藏窗口的代码以及分阶段的有效载荷执行，以对用户和自动化检测工具隐藏其踪迹。

Zscaler研究团队将此活动归因于Water Gamayun，基于几个强有力的标志，包括罕见的EvilTwin漏洞滥用、自定义的PowerShell混淆，以及使用诱饵文档来降低怀疑。

他们的分析揭示，在建立初始立足点后，恶意软件链会利用可下载的可执行文件、压缩包提取和进程注入来扩大其影响范围。

多阶段载荷与隐藏执行

Water Gamayun方法论的核心是一个分层的感染过程。伪装RAR文件被打开后，有效载荷会向磁盘写入一个.msc文件。

执行时，mmc.exe使用恶意的管理单元数据解释此文件，以通过TaskPad运行经过编码的PowerShell。PowerShell脚本——第一阶段——下载诸如UnRAR.exe之类的合法工具，然后访问包含附加有效载荷的受密码保护的压缩包。

这些脚本执行诸如以下命令：

第二阶段的脚本编译一个.NET模块以隐藏恶意软件窗口，运行一个诱饵PDF，并投放最终的加载器可执行文件ItunesC.exe。该加载器通过启动多个实例并隐藏到外部IP的网络信标来实现长期驻留。

此活动突显了高级混淆和多阶段执行如何能够逃避检测，这使得防御者必须监控罕见的文件扩展名、编码PowerShell的使用、可疑的进程链以及与类似基础设施的网络活动。

在 Google新闻、LinkedIn 和 X 上关注我们，以获取更多即时更新，并在 Google 中将CSN设为优先信息来源。