Русскоязычные хакеры атакуют через MSC EvilTwin: компании теряют данные из-за Fickle Stealer

Группа EncryptHub, известная в русскоязычном хакерском сообществе, вновь активизировалась, о чем сообщили специалисты Trustwave SpiderLabs. В новой волне атак они используют уязвимость CVE-2025-26633 в Microsoft Management Console, получившую название MSC EvilTwin, для внедрения трояна Fickle Stealer в корпоративные сети.

Атака строится на методах социальной инженерии. Злоумышленники отправляют жертве два MSC-файла с идентичными именами, один из которых является безопасным, а другой – зараженным. При открытии безобидного файла активируется уязвимость, которая запускает вредоносный вариант. В результате выполняется PowerShell-скрипт, который собирает информацию о системе, закрепляется в ней и подключается к серверам управления EncryptHub для загрузки дополнительных вредоносных программ.

Основная цель кампании – распространение Fickle Stealer, трояна, разработанного специально для кражи учетных данных и конфиденциальной информации. Исследователи отмечают, что это не первый случай использования CVE-2025-26633 группой EncryptHub. Ранее, весной, они применяли этот же метод для распространения бэкдоров SilentPrism и DarkWisp. Теперь же основной упор сделан на прямую кражу данных.

EncryptHub (также известная как LARVA-208 и “Водяная Гамаюн”) действует с середины 2024 года. В ее арсенале – поддельные объявления о вакансиях, зараженные портфолио, взломы аккаунтов в онлайн-играх и фишинговые письма, замаскированные под сообщения от ИТ-отделов. В последних атаках злоумышленники выдают себя за сотрудников Microsoft Teams, чтобы инициировать удаленные сеансы и незаметно устанавливать вредоносные модули.

Эксперты подчеркивают, что сочетание технических эксплойтов с психологическими приемами делает EncryptHub особенно опасной. Даже после установки патча для CVE-2025-26633 риск остается высоким, если в компании не уделяется достаточно внимания обучению сотрудников и многоуровневой защите. Каждое успешное заражение увеличивает вероятность утечки критически важной информации и прямых финансовых убытков.