EncryptHub nutzt Zero-Day-Lücke in Windows für gezielte Angriffe

Die Bedrohungsgruppe EncryptHub hat eine bisher ungepatchte Schwachstelle in Microsoft Windows ausgenutzt, um Schadsoftware auf betroffenen Systemen einzuschleusen. Bei der als Zero-Day klassifizierten Attacke kamen unter anderem die Infostealer Rhadamanthys und StealC zum Einsatz – beides Schadprogramme, die darauf ausgelegt sind, sensible Informationen abzugreifen und Hintertüren zu etablieren.

Im Fokus steht die Sicherheitslücke CVE-2025-26633 (CVSS: 7.0), die im Zusammenhang mit der Microsoft Management Console (MMC) steht. Die Schwachstelle erlaubt es, eine Sicherheitsprüfung lokal zu umgehen. Microsoft hat die Lücke inzwischen im Rahmen des Patch Tuesday vom März 2025 behoben.

Laut Aliakbar Zahravi, Sicherheitsexperte bei Trend Micro, basiert der Angriff auf einer Kombination aus manipulierten .msc-Dateien und der missbräuchlichen Nutzung des Multilingual User Interface Path (MUIPath): „Ziel ist es, Schadcode aus dem Internet nachzuladen, sich im System dauerhaft zu verankern und vertrauliche Daten unbemerkt zu exfiltrieren.“

Die von Trend Micro als MSC EvilTwin bezeichnete Attacke wird einer Bedrohungsgruppe zugeschrieben, die unter verschiedenen Namen geführt wird: EncryptHub, Water Gamayun (Trend Micro) und LARVA-208 (PRODAFT, Outpost24). Die mutmaßlich russisch gesteuerte Gruppe nutzt ein PowerShell-Skript, den MSC EvilTwin Loader, um präparierte .msc-Dateien zu platzieren.

Der technische Mechanismus dahinter: Zwei gleichnamige .msc-Dateien werden erstellt – eine saubere und eine kompromittierte. Letztere wird im Unterordner „en-US“ abgelegt. Aufgrund der Funktionsweise des MUIPath greift mmc.exe bei Ausführung versehentlich auf die schädliche Datei zu – und führt sie im Kontext des Originals aus.

Trend Micro erläutert: „Der Angreifer nutzt die Art und Weise aus, wie MMC auf lokalisierte Ressourcen zugreift. Eine schädliche .msc-Datei im Sprachordner reicht aus, um Code auszuführen – ohne Interaktion des Nutzers.“

Zusätzlich zu dieser Methode kommen zwei weitere Angriffsvarianten zum Einsatz:

• In einem Fall verwenden die Angreifer die ExecuteShellCommand-Funktion innerhalb der MMC, um Payloads aus dem Internet zu laden und auszuführen. Diese Technik wurde bereits im August 2024 von Outflank dokumentiert.

• In einem weiteren Szenario wird eine schädliche .msc-Datei in einem vermeintlich legitimen Pfad wie „C:\Windows \System32“ (mit eingefügtem Leerzeichen) abgelegt. Durch diese Täuschung wird die Benutzerkontensteuerung (UAC) umgangen. Die Datei wird unter dem Namen „WmiMgmt.msc“ getarnt.

Laut Dustin Childs, Leiter der Zero Day Initiative (ZDI) bei Trend Micro, setzt EncryptHub auch eigene Schadkomponenten ein. Dazu zählen der EncryptHub Stealer sowie zwei Backdoors mit den Namen DarkWisp und SilentPrism. Das Sicherheitsunternehmen Outpost24 bezeichnet das gesamte Toolkit unter dem Namen EncryptRAT.

Der initiale Infektionsvektor basiert mutmaßlich auf digital signierten MSI-Dateien, die vorgeben, legitime chinesische Anwendungen wie DingTalk oder QQTalk zu sein. Tatsächlich handelt es sich um gefälschte Installationsprogramme, die beim Start einen Loader nachladen und Schadcode ausführen. Laut Trend Micro testet EncryptHub dieses Vorgehen bereits seit April 2024.

Zahravi fasst zusammen: „Diese Angriffskampagne ist modular aufgebaut und entwickelt sich kontinuierlich weiter. Die Angreifer kombinieren mehrere Infektionspfade, um langfristige Persistenz zu erreichen, Daten abzugreifen und diese verdeckt an ihre Server zu übermitteln.“