Investigadores han identificado una campaña del actor de amenazas ruso Water Gamayun que explota una vulnerabilidad de día cero en la consola de administración de Microsoft, permitiendo la ejecución de código malicioso y la exfiltración de datos.
El ataque se basa en la manipulación de archivos .msc y el uso de la ruta de la interfaz de usuario multilingüe (MUIPath) para descargar cargas maliciosas, mantener persistencia y sustraer información sensible de los sistemas afectados. Empresas que dependen de herramientas administrativas de Microsoft pueden estar en riesgo de esta amenaza, enfrentando posibles filtraciones de datos y pérdidas económicas significativas.Microsoft reveló la vulnerabilidad CVE-2025-26633 y lanzó un parche de seguridad para mitigar el problema.
Water Gamayun, también conocido como EncryptHub y Larva-208, ha desarrollado una técnica denominada MSC EvilTwin para explotar esta falla en el Microsoft Management Console (MMC). Esta vulnerabilidad ha sido rastreada bajo el código ZDI-CAN-26371 (ZDI-25-150).
Los siguientes módulos son los componentes maliciosos identificados relacionados con Water Gamayun. Estos incluyen herramientas como EncryptHub Stealer, DarkWisp Backdoor, SilentPrism Backdoor, MSC EvilTwin Loader, Stealc y Rhadamanthys Stealer.
¿Qué es Microsoft Management Console?
Microsoft Management Console (MMC) es una herramienta que proporciona una interfaz gráfica y un entorno de programación para gestionar recursos de hardware, software y redes en Windows. Estas herramientas, denominadas complementos, se almacenan en archivos .msc y pueden ser personalizadas por los usuarios.
Un solo archivo .msc puede contener múltiples referencias a complementos, permitiendo la ejecución de scripts para automatizar configuraciones administrativas.
Técnicas Utilizadas por WaterGamayun
El grupo de amenazas emplea tres estrategias principales para ejecutar código malicioso a través de archivos MSC:
1. MSC EvilTwin (CVE-2025-26633)
Esta técnica aprovecha la ejecución de archivos .msc maliciosos utilizando uno legítimo. Se generan dos versiones del mismo archivo: una limpia y otra maliciosa, almacenada en un directorio “en-US”. Cuando se ejecuta el archivo limpio, mmc.exe carga y ejecuta el archivo malicioso en su lugar.
La explotación se basa en el abuso de MUIPath, una característica de Windows que gestiona archivos de interfaz de usuario localizados. Al colocar un archivo malicioso en la carpeta en-US, mmc.exe lo carga y ejecuta en lugar del original sin que el usuario lo note.
2. Ejecución de comandos de shell a través de archivos MSC
Esta técnica permite la ejecución de comandos en el sistema víctima mediante el método ExecuteShellCommand de MMC. Se emplean archivos .msc manipulados que contienen un objeto Shockwave Flash dentro de un control ActiveX, abriendo un navegador web con permisos elevados.
Desde la página HTML cargada en MMC, un atacante puede ejecutar comandos maliciosos utilizando:
<script>external.ExecuteShellCommand(…)</script>
Esto permite descargar y ejecutar cargas útiles adicionales en el sistema comprometido.
3. Uso de Directorios de Confianza Ficticios
Water Gamayun crea directorios con nombres similares a los del sistema, pero con espacios o caracteres especiales para engañar a las aplicaciones y forzarlas a cargar archivos maliciosos en lugar de los legítimos.
Por ejemplo, un directorio “C:\Windows \System32” (con un espacio adicional) puede ser interpretado erróneamente como la ruta original, permitiendo la ejecución de código malicioso con privilegios elevados.
Cargador de Troyanos MSC EvilTwin
MSC EvilTwin es un cargador de troyanos escrito en PowerShell que implementa todas las técnicas mencionadas para comprometer los sistemas. El ataque comienza con un archivo MSI firmado digitalmente, disfrazado de software legítimo como DingTalk o QQTalk, que posteriormente ejecuta el código malicioso.
Conclusión
La vulnerabilidad en Water Gamayun representa un riesgo significativo para infraestructuras críticas. La rápida aplicación de parches de seguridad y la implementación de controles adicionales son esenciales para mitigar el impacto de posibles ataques. Las organizaciones deben priorizar la ciberseguridad en sus sistemas de gestión hídrica para prevenir futuras amenazas.
Recomendaciones
- Aplicar parches y actualizaciones: Asegúrate de instalar el parche proporcionado por Microsoft para esta vulnerabilidad en el Microsoft Management Console (MMC) lo antes posible. Mantén todos los sistemas y aplicaciones actualizados para reducir la superficie de ataque.
- Monitoreo y detección: Configura sistemas de monitoreo para detectar actividades sospechosas relacionadas con la explotación de archivos .msc y el uso de MUIPath. Utiliza herramientas de detección de intrusiones y análisis de comportamiento para identificar patrones anómalos.
- Capacitación y concienciación: Educa a tu personal sobre las tácticas de ingeniería social y las mejores prácticas de seguridad para evitar que caigan en trampas de phishing que podrían facilitar la explotación. Realiza simulaciones de phishing y sesiones de capacitación periódicas.
- Segmentación de red: Segmenta tu red para limitar el movimiento lateral de los atacantes en caso de una brecha. Implementa controles de acceso estrictos y utiliza VLANs para separar segmentos críticos de la red.
- Copias de seguridad: Mantén copias de seguridad actualizadas y almacenadas de manera segura para minimizar el impacto de posibles ataques y facilitar la recuperación de datos. Asegúrate de que las copias de seguridad estén protegidas contra accesos no autorizados y que se realicen pruebas de restauración regularmente.
- Revisión de configuraciones y permisos: Realiza auditorías periódicas de las configuraciones y permisos en el MMC y otros sistemas críticos. Asegúrate de que solo el personal autorizado tenga acceso a funciones administrativas y que los permisos estén configurados correctamente.
INDICADORES DE COMPROMISO
