EncryptHub, un actor de amenazas conocido, ha sido vinculado a una serie de ataques de día cero en sistemas Windows.
Estos ataques explotan una vulnerabilidad en el Microsoft Management Console (MMC) que fue parchada este mes.
La vulnerabilidad, conocida como ‘MSC EvilTwin’ (CVE-2025-26633) permite a los atacantes eludir las protecciones de reputación de archivos de Windows y ejecutar código malicioso sin que el usuario sea advertido al cargar archivos MSC en dispositivos no parcheados.
¿Cómo funciona la vulnerabilidad?
La vulnerabilidad se encuentra en la forma en que los archivos MSC son manejados en dispositivos vulnerables.
Los atacantes pueden aprovechar esta brecha de seguridad para enviar archivos especialmente diseñados a las víctimas y convencerlas de abrirlos, ya sea a través de correos electrónicos o sitios web comprometidos.
Una vez abiertos, estos archivos pueden ejecutar código malicioso y permitir a los atacantes robar datos de los sistemas comprometidos.
¿Qué ha hecho EncryptHub con esta vulnerabilidad? ⚠️
EncryptHub ha estado utilizando esta vulnerabilidad para desplegar varios programas maliciosos en los sistemas afectados, como el stealer de EncryptHub, el backdoor DarkWisp, el backdoor SilentPrism, y otros malware, como el troyano MSC EvilTwin.
El objetivo de estos ataques es mantener la persistencia en los sistemas infectados y robar información sensible que luego es enviada a los servidores de comando y control de los atacantes.
¿Cómo se lleva a cabo el ataque?
Los atacantes manipulan archivos .msc y el Multilingual User Interface Path (MUIPath) para descargar y ejecutar cargas maliciosas.
Estos archivos están diseñados para robar información confidencial y mantener el control sobre el sistema afectado a largo plazo. Los ataques se están desarrollando activamente y usan múltiples métodos de entrega y cargas personalizadas.
¿A quiénes ha afectado EncryptHub?
Según investigaciones, EncryptHub ha estado vinculado a brechas de seguridad en más de 618 organizaciones en todo el mundo, utilizando ataques de spear-phishing y ingeniería social.
Además, este grupo también distribuye ransomware, que cifra los archivos de las víctimas después de robar información sensible, actuando como un afiliado de las operaciones de ransomware RansomHub y BlackSuit.
¿Qué más se ha parcheado este mes?
Este mes, Microsoft también lanzó un parche para una vulnerabilidad crítica en el sistema Win32 Kernel Subsystem de Windows (CVE-2025-24983) que había sido explotada en ataques desde marzo de 2023.
Es esencial que los usuarios de Windows apliquen estos parches para evitar que sus sistemas sean vulnerables a futuros ataques.
Conclusión
Si tienes un sistema Windows, es crucial que actualices tu software lo antes posible para protegerte de estas vulnerabilidades.
Los atacantes, como EncryptHub, siguen desarrollando técnicas más sofisticadas para comprometer tus datos. Mantén tu sistema seguro aplicando siempre las actualizaciones de seguridad.