Le groupe de pirates russe EncryptHub mène actuellement une campagne d’attaque qui combine à la fois l’ingénierie sociale via Microsoft Teams et l’exploitation d’une vulnérabilité dans Windows. Voici ce qu’il faut savoir.
Ingénierie sociale et exploitation de la faille MSC EvilTwin
Selon un rapport des chercheurs de Trustwave SpiderLabs, les cybercriminels d’EncryptHub, également connu sous les noms de LARVA-208 et Water Gamayun, associent ingénierie sociale et exploitation technique de la faille CVE-2025-26633, surnommée “MSC EvilTwin”, pour infiltrer les systèmes et y déployer des malwares de type infostealer (voleur d’informations). Pour rappel, cette vulnérabilité a été patchée en mars 2025 par Microsoft.
La chaîne d’attaque documentée par Trustwave met en avant le fait que les pirates d’EncryptHub mixent l’ingénierie sociale à l’exploitation d’une vulnérabilité. En effet, Les pirates manipulent d’abord leurs victimes pour contourner les premières lignes de défense.
Prise de contact : l’attaquant se fait passer pour un membre du support informatique en prenant contact avec sa victime via Microsoft Teams.
Connexion à distance : l’objectif est d’établir une connexion à distance pour déployer manuellement les charges utiles via des commandes PowerShell.
Déploiement des fichiers MSC : le pirate télécharge ensuite deux fichiers Microsoft Console (.msc) portant le même nom. L’un est légitime, l’autre est malveillant et conçu pour exploiter la faille CVE-2025-26633. En lançant le fichier sain, la victime déclenche en réalité l’exécution du fichier malveillant.
Il est intéressant de noter que les cybercriminels ont également recours à l’utilisation de Brave Support, une plateforme légitime associée au navigateur Brave. C’est le chargeur développé en Go et identifié sous le nom de SilentCrystal qui récupère une archive ZIP hébergée sur cette plateforme. Elle contient deux fichiers MSC spécialement conçus pour exploiter la vulnérabilité MSC EvilTwin.
Source : Trustwave
Une fois activé, le fichier .msc malveillant télécharge et exécute un autre script PowerShell depuis un serveur distant. Ce dernier est chargé de collecter les informations système, d’établir une persistance sur l’hôte et de communiquer avec le serveur C2 piloté par le groupe EncryptHub. Au final, les pirates peuvent exécuter d’autres charges à distance sur la machine, dont le logiciel malveillant Fickle Stealer, de type infostealer.
Comme le soulignent les chercheurs, la communication avec le serveur C2 est sécurisée : “Le script reçoit des commandes chiffrées en AES de la part de l’attaquant, les déchiffre et exécute les charges utiles directement sur la machine infectée.”
EncryptHub, un groupe de cybercriminels en constante évolution
Identifié pour la première fois mi-2024, le groupe de cybercriminels EncryptHub est une menace sérieuse et capable d’adapter ses techniques au fil de ses campagnes malveillantes.
Selon Trustwave, « le groupe derrière EncryptHub démontre des capacités significatives et une forte capacité d’adaptation, combinant ingénierie sociale, détournement de plateformes de confiance et exploitation de vulnérabilités système pour maintenir persistance et contrôle ».
L’entreprise de cybersécurité souligne également que « le recours à de fausses plateformes de visioconférence, à des infrastructures de commande chiffrées et à un arsenal malveillant en constante évolution illustre la nécessité d’une stratégie de défense en profondeur, d’une veille continue sur les menaces et d’actions de sensibilisation des utilisateurs ».
Enfin, vous pouvez bloquer l’adresse IP 185.33.86.220 car elle est associée à cette activité malveillante.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.