أفادت شركة Trustwave SpiderLabs أن مجموعة القرصنة الروسية المعروفة باسم EncryptHub تواصل استغلال ثغرة أمنية في نظام مايكروسوفت ويندوز، رغم أنها أُصلحت مؤخرا، وذلك بهدف نشر برمجيات خبيثة وسرقة بيانات حساسة.
الثغرة (CVE-2025-26633) المعروفة باسم MSC EvilTwin، تستغل عبر تمرير ملفات Microsoft Console (MSC) مزيفة. إذ يقوم المهاجمون بتمرير ملفين بنفس الاسم، أحدهما سليم والآخر خبيث، بحيث يؤدي فتح الملف السليم إلى تشغيل الملف الضار. ومن خلاله يتم تنزيل سكريبت PowerShell يجمع معلومات النظام ويؤسس نقطة ثبات داخل الجهاز للتواصل مع خادم التحكم والسيطرة (C2).
المجموعة، التي تعرف أيضا بأسماء LARVA-208 وWater Gamayun، ظهرت منتصف عام 2024 وتعمل بوتيرة عالية، مستهدفة الضحايا بطرق مختلفة منها عروض وظائف مزيفة أو مراجعات ملفات تعريفية وحتى استغلال ألعاب على منصة Steam لنشر برمجياتها الخبيثة.
الحملة الأخيرة اعتمدت على انتحال هوية موظفي تقنية المعلومات وإرسال طلبات عبر Microsoft Teams لبدء اتصال عن بُعد وتنفيذ أوامر إضافية. كما استعان المهاجمون بمنصات مؤتمرات فيديو مزيفة مثل RivaTalk لدفع الضحايا إلى تنزيل ملفات MSI تحتوي على برمجيات خبيثة.
البرمجية الأساسية التي استخدمت في الهجوم تُعرف باسم Fickle Stealer، وهي مصممة لسرقة البيانات. كما نشر المهاجمون محملا خبيثا مكتوبا بلغة Go يُعرف باسم SilentCrystal، استغل منصة Brave Support لاستضافة ملفات ضارة على شكل أرشيف ZIP، وهو ما يشير إلى أن المهاجمين حصلوا على وصول غير مصرح به إلى حسابات تسمح برفع الملفات.
الهجمات شملت أيضا التحميل الجانبي لمكتبات DLL باستخدام ملف تثبيت شرعي من Symantec (ELAM)، ما سمح بتنفيذ أوامر PowerShell إضافية وتشغيل برمجيات خبيثة خفية. البرمجيات المضافة جمعت بيانات النظام وأرسلتها إلى خادم C2، كما أطلقت تعليمات مشفرة عبر PowerShell ليتم فكها وتشغيلها محليا، إضافة إلى عرض رسالة زائفة بعنوان “System Configuration” لإخفاء النشاط.
وأكد تقرير Trustwave أن مجموعة EncryptHub تمثل خصما منظما ومرنا، يجمع بين التصيد الاجتماعي واستغلال الثغرات التقنية وإساءة استخدام المنصات الموثوقة. كما شدد على أن مواجهة مثل هذه التهديدات تتطلب استراتيجيات دفاع متعددة الطبقات، مع تعزيز التدريب على الوعي الأمني للمستخدمين وتطوير قدرات استخبارات التهديدات بشكل مستمر.
