Contexte — Source : Trustwave SpiderLabs. Le billet détaille une campagne avancée d’EncryptHub combinant ingénierie sociale, exploitation de vulnérabilité et nouveaux outils malveillants pour compromettre des cibles à l’échelle mondiale.

• Portée et mode opératoire. Les attaquants se font passer pour le support IT via Microsoft Teams afin d’établir un accès à distance, puis hébergent des contenus malveillants sur la plateforme Brave Support. La campagne a compromis 618 organisations dans le monde et s’appuie sur des outils Golang comme le chargeur SilentCrystal et des backdoors proxy SOCKS5. Les opérateurs utilisent également de fausses plateformes de visioconférence et des structures de commande chiffrées pour la persistance et le contrôle.

• Chaîne d’attaque. L’intrusion commence par l’exécution PowerShell pour télécharger runner.ps1, qui dépose des fichiers .msc malveillants exploitant CVE-2025-26633 (MSC EvilTwin). La faille permet l’exécution lors du chargement par mmc.exe d’un fichier MSC placé dans le répertoire MUIPath à la place du fichier légitime.

• Nouveaux outils et livraisons. Parmi les outils observés : SilentCrystal (chargeur Golang abusant de Brave Support pour héberger les charges), un backdoor SOCKS5 avec modes client/serveur, et une fausse plateforme vidéo “RivaTalk” distribuant des installateurs malveillants setup.msi.

• Techniques et capacités. Le malware recourt au DLL sideloading, à des communications C2 chiffrées (AES), à la génération de trafic navigateur factice et à des mécanismes de contrôle à distance continus via PowerShell. 🎯

TTPs clés:

  • Ingénierie sociale: usurpation du support IT via Microsoft Teams.
  • Initialisation: exécution PowerShell pour récupérer runner.ps1 et déposer des .msc malveillants.
  • Exploitation: CVE-2025-26633 (MSC EvilTwin) — chargement détourné par mmc.exe depuis MUIPath.
  • Livraison/Hébergement: abus de Brave Support; faux site RivaTalk livrant setup.msi.
  • Exécution/Persistance: DLL sideloading, contrôle PowerShell continu.
  • Commandement & Contrôle: C2 chiffré AES, proxy SOCKS5 (modes client/serveur).
  • Évasion: trafic navigateur simulé.

Type d’article : analyse de menace visant à documenter la campagne, la chaîne d’attaque et l’arsenal utilisé par EncryptHub.

🔗 Source originale : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/when-hackers-call-social-engineering-abusing-brave-support-and-encrypthubs-expanding-arsenal/

🖴 Archive : https://web.archive.org/web/20250814093524/https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/when-hackers-call-social-engineering-abusing-brave-support-and-encrypthubs-expanding-arsenal/