Investigadores en ciberseguridad han identificado que los actores de amenazas responsables de la explotación de una vulnerabilidad de día cero recientemente parcheada en Microsoft Windows están desplegando dos nuevas puertas traseras denominadas SilentPrism y DarkWisp.
Este ataque ha sido atribuido a un grupo de piratas informáticos presuntamente vinculado a Rusia, conocido como Water Gamayun, también llamado EncryptHub y LARVA-208. Según un análisis publicado por Trend Micro, el grupo utiliza diversas técnicas avanzadas para distribuir sus cargas maliciosas, comprometiendo sistemas a través de paquetes de aprovisionamiento maliciosos, archivos MSI firmados y archivos MSC de Windows.
Explotación de CVE-2025-26633 y Métodos de Ataque
Water Gamayun ha sido identificado como el actor detrás de la explotación activa de CVE-2025-26633, una vulnerabilidad en el marco de Microsoft Management Console (MMC). Esta falla permite la ejecución de malware a través de archivos maliciosos .msc.
El modus operandi del grupo implica el uso de:
- Paquetes de aprovisionamiento (.ppkg)
- Archivos firmados de Microsoft Windows Installer (.msi)
- Archivos MSC maliciosos
Estas técnicas permiten la entrega de ladrones de información y puertas traseras, que garantizan persistencia y la exfiltración de datos confidenciales.
SilentPrism y DarkWisp: Dos Puertas Traseras Peligrosas
Uno de los programas maliciosos clave utilizados por Water Gamayun es SilentPrism, un implante de PowerShell con capacidad para:
- Configurar persistencia en el sistema infectado
- Ejecutar múltiples comandos de shell simultáneamente
- Mantener acceso remoto sin ser detectado
- Evadir análisis y detección mediante técnicas antianálisis
Por otro lado, DarkWisp es otra puerta trasera de PowerShell que facilita:
- Reconocimiento del sistema
- Exfiltración de datos confidenciales
- Persistencia en el sistema comprometido
Según los investigadores, una vez que el malware exfiltra información al servidor de comando y control (C&C), entra en un bucle continuo de espera de comandos. Los atacantes pueden enviar instrucciones a través de conexiones TCP en el puerto 8080, utilizando un formato predefinido COMMAND|<base64_encoded_command>.
 |
| Flujo de ejecución de DarkWisp |
Uso de MSC EvilTwin y Rhadamanthys Stealer
Otra carga útil utilizada en estos ataques es MSC EvilTwin, un cargador que explota CVE-2025-26633 para ejecutar archivos .msc maliciosos. Su objetivo final es la distribución del Rhadamanthys Stealer, un malware especializado en el robo de credenciales y datos sensibles.
Además de Rhadamanthys, se ha identificado el uso de:
- StealC (otro ladrón de credenciales y datos sensibles)
- EncryptHub Stealer (con variantes A, B y C)
Estos programas maliciosos están diseñados para extraer una gran cantidad de información, incluyendo:
- Detalles sobre software instalado y antivirus
- Adaptadores de red y procesos en ejecución
- Historial del portapapeles y credenciales del navegador
- Datos de sesión en aplicaciones de mensajería, VPN y FTP
- Frases de recuperación de billeteras de criptomonedas
Uso de LOLBins y Técnica de Proxy con runnerw.exe
Water Gamayun ha demostrado una alta sofisticación en sus ataques, empleando binarios de vida libre (LOLBins) para ocultar sus actividades. Una técnica notable es el uso del lanzador runnerw.exe de IntelliJ, el cual permite proxy la ejecución de scripts de PowerShell remotos sin levantar sospechas.
Asimismo, los artefactos de malware distribuidos mediante paquetes MSI maliciosos han sido utilizados para propagar otras familias de malware como:
- Lumma Stealer
- Amadey
- Variantes de clippers
Infraestructura de C&C y Persistencia
El análisis de la infraestructura de comando y control de Water Gamayun ha revelado que los atacantes utilizan scripts de PowerShell para descargar y ejecutar AnyDesk, una herramienta legítima de acceso remoto. Esto les permite:
- Mantener persistencia en los sistemas infectados
- Ejecutar comandos remotos codificados en Base64
- Eliminar rastros forenses tras la infección
Un Actor de Amenaza Altamente Sofisticado
La combinación de múltiples técnicas avanzadas por parte de Water Gamayun, como la utilización de archivos MSI firmados y el abuso de LOLBins, refleja su capacidad de adaptación y persistencia en sistemas comprometidos.
«El uso de cargas útiles diseñadas de manera intrincada y una infraestructura de comando y control robusta permite a Water Gamayun evadir detección, mantener persistencia y controlar dinámicamente los sistemas infectados», concluyeron los investigadores de Trend Micro.
Debido a la creciente sofisticación de estos ataques, es fundamental que las organizaciones implementen medidas de seguridad avanzadas, mantengan sus sistemas actualizados y realicen auditorías regulares para detectar actividades sospechosas.
Recomendaciones para Mitigar el Riesgo
Para protegerse contra ataques como los de Water Gamayun, se recomienda:
- Actualizar Windows con los últimos parches de seguridad
- Evitar la ejecución de archivos MSI y MSC no verificados
- Deshabilitar la ejecución de PowerShell sin restricciones
- Implementar soluciones de detección y respuesta (EDR)
- Utilizar herramientas de monitoreo de actividad inusual en la red
Con el incremento de ciberamenazas avanzadas, la prevención y la detección temprana son claves para evitar compromisos en infraestructuras críticas y entornos empresariales.
Fuente: The Hacker News
